Cómo realizar un análisis forense del registro de Windows
En este artículo vamos a hablar sobre el papel del registro de Windows en la investigación forense cibernética, por qué es necesario analizarlo y también mostrar algunas opciones de registro importantes.
Archivos de registro
El sistema operativo Windows de Microsoft registra todas y cada una de las actividades realizadas por el usuario en el archivo de registro, también conocido como visor de eventos. Para poder acceder a este debemos usar el comando compmgmt.msc en el cuadro de diálogo ejecutar (Tecla Windows + R).
Si un atacante o malware ingresa a tu sistema y realiza acciones maliciosas en segundo plano, se registra en los archivos de registro de tu sistema. Después del ataque, cuando el investigador forense accede a tu sistema operativo, crea un volcado de esos registros y también del registro de Windows.
No obstante, todo depende de lo inteligente que sea el atacante, porque estas claves de registro y registros se pueden eliminar. Pero un buen investigador forense es la persona que analiza todos y cada uno de los elementos presentes en el sistema para obtener una pista sobre el ataque. Un cibercriminal traerá algo y dejará algo en la escena del crimen. Y, ese algo tiene que ser encontrado por un investigador forense cibernético que analice la escena del crimen en un dispositivo digital.
¿Qué es el registro de Windows?
Ahora conocemos el concepto de archivos de registro en el sistema operativo Windows, pero la discusión adicional girará totalmente en torno al Registro de Windows.
El Registro de Windows es una base de datos a la que se accede mediante varios softwares, aplicaciones, archivos de configuración, archivos dll, etc. en tu sistema . Esto porque la forma real y la configuración relacionada con el funcionamiento de software y aplicaciones en el sistema operativo se definen aquí.
Por lo tanto, las actualizaciones se realizan en el Registro de Windows mediante varios archivos de configuración cada vez que les introducimos nuevos cambios. Puedes imaginarte el Registro de Windows como un eje central, sin el cual no se podría ejecutar ni cambiar nada en el entorno de Windows. Incluso si abres una imagen y la cierras, se reflejará en el registro, así que debes comprender el poder del Registro de Windows, toda la información se puede recuperar con un análisis minucioso del mismo.
¿Cómo abrir el registro?
Para abrir el registro de Windows, prefiero usar el editor de registro, una herramienta predeterminada para acceder al registro. Hay muchas otras herramientas que brindan resultados automatizados del registro con un solo clic, pero nuestro motivo es comprender el concepto, así que lo mostraré a través del editor de registro. Debes usar el atajo de teclado Windows + R para abrir el cuadro de diálogo de ejecución; allí debes escribir regedit y presionar Enter.
Luego te pedirá los permisos, así que debes permitirlos. Además, esto solo funciona si has iniciado sesión con la cuenta de administrador del sistema operativo Windows; de lo contrario, te pedirá las credenciales de administrador para acceder.
IMPORTANTE: No discutiré todas las claves de registro porque la lista es tan grande que necesitaríamos un post muy extenso. En su lugar, discutiré el uso y la importancia de cada opción, el resto se explica por sí mismo a partir de los respectivos nombres de las colmenas.