Curso de Forense Computacional - Aula 4.3 - Parte 1 - Introdução à Análise de Registro do Windows

bom então vamos lá pessoal para mais uma aula hoje tá em para iniciar a primeira parte da aula sobre análise do registro do windows tá e aí nas próximas horas vai decorrer falando sobre isso e sabe passa por extenso assim né porque é muito conteúdo até um detalhezinho é importante ficar atento tá bom então a nossa agenda aí tá para aula de hoje é a arquitetura do registro do inter não entender como é isso a como a gente faz para capturar o registro do windows tá e aí é o exame a primeira parte do exame

naquela o carrinho de sair dessa automática tudo bem e aí nas próximas horas de viver a chave de programa instalado do registro do índio né para encontrar o problema instalado dispositivo usb qual o dispositivo foi conectado quando foi arquivos acessados recentemente tá um pouco de análise rede e a hora que o windows foi desligado fazer análise pós-morte tá e aí recuperação de chave de registros excluídos identificação do formato de arquivo tudo bem tudo via registro tá então o que a gente dormindo né destruindo cancelar do coração do sistema operacional também então ele contem informações críticas

necessárias porque eu tinha operacional no windows ele e as aplicações funciona de forma correta também estão quase todas as operações usuais são armazenadas dentro do registro né então daí você tira a importância né desse o recurso né dessas configurações desses arquivos para fazer uma análise forense tá então a gente tem meio que o diário de que o usuário faz o que os problemas executam por meio do registro tá porque esse registro de ser um banco de dados na de família rica que armazena definições de configuração do sistema unidos para rádio sofre e do próprio sistema

operacional né então vai tá lá de preferência de usuários quais são os arquivos problemas que eles preferem para abrir determinado tipo de arquivo tá e o histórico de uso do computador o histórico dessa aplicações os arquivos foram instalados recente também então a os dados estruturados de do registro de forma de uma afro né então eu tenho minha registro raiz tá e fala o ribas que então cada nó é uma chave tá e aí eu tenho minhas subchaves e cada essa chuva chaves podem de outras subchave e podem ter valores atrelados a ela tá bem então

ao registro de contém 5 na arquitetura destruindo a terra é de cinco portas aí né falei são chamados níveis tá teu cada river são as primeiras partes e aparece do lado esquerdo e tudo exige né quando a gente abrir o regedit acho que todo mundo aqui já viu falava já conhece né esse clica no menu iniciar digita r r g i r r r r r r r g editar a atividade do trono sentido diz pérola e aí você sabe o regedit tá e aí vai ter feito registro tudo bem e aí você tem aqui

o rímel os principais né hq clássicos igual daqui corrente use a daqui localmachine a daqui usar hq corrente config tá então aqui então são chamados os rivais a gente tem cinco rios principais e dentro desse livro eu tenho outros para até as chaves de registro e residir em outras regiões que tem os valores tá então essa chave aqui nesse gibis do registro tem uma hq classe boot que eu queria o e contém informações relativas a associação de arquivos tá então informações de configuração até um papo aqui então que é a configuração assim configuração que informa

qual programa usar para abrir determinado arquivo tá então as configurações ficou nesse lugar que crescem tem olha aqui corrente usa que ele contém formas ativa o perfil do usuário né então vai ser qual os programas e sistemas os olhos vai tá instalado ali quais foram os olhos lado aquele usuário usar então tudo certo lá do perfil do usuário tava dentro do corrente de usa a daqui corrente uso tá tem uma daqui logo uma china que ele contém a maioria das informações de configuração dos programas instalados que atualmente nem do próprio meninas então eu tenho configuração

preferência de configuração determinado programa tá aqui dentro do river hq localmachine tal então até aqui usar ele contem informações relativas a todos os usuários de equipamentos e suas configurações pessoais tá então tá tudo aqui usa vai ter uma achava ele aqui corrente usa ele possui oi para o usuário é a que contém usar o corrente está vendo aqui usa tá eu tenho outra chave que ela aqui corrente usa que ele aponta as configurações tá tem um só identificado porque pela aquele essa ele que a gente falou dar uma anterior também é esse river aqui tá

é o hq corrente config enormously informações diretamente tá ele é um ponteiro para outra chave do registro tá bem então ele envia armazena desculpa né mas eu não ele para ponta né para outra chave do registro como tá aqui em baixo aqui ó mais tinta se isso corresponde aos sete rider profile corrente aí você levanta informações sobre o perfil de hardware do computador e se chama computador local também ah então é aqui horríveis eles são divididos tá em dois tipos né os volantes e os não voláteis tá enrolado essa capturados na enquanto o sistema estiver

ligado tá bem então quando a gente faz uma análise online quando eu te chamo aí tá ligado ali então esse dente é um crime aí precisar capturar essa chave aqui se não conseguir capturar ela se não for possível capturar todo o lixo tá bem então essa chave aqui aqui claire holt aqui cor e usa daqui corrente mais fina porque se desligar a gente pede tá hoje não vou lá tirar então gravado direto no lixo eu acho que usar no dia que você acha que isso porque você vai ser se vê tá é uma memória flash

também o lixo mas no modo geral fazer com um bicho tá então eu não vou laçar daqui localmachine olha aqui usa ok então o método de paranaguá e registro tá gente pode usar dois tipos de metas não é um deles é conseguir está contido em uma imagem referência que acabei de falar então você faz o dap não é o de dele de duplicação de todo o teu dia escutar nesse vai mais nariz forma offline ou você consegue a montar essa imagem que eu já mostrou nova eu teria hoje nessa analisar de montar essa imagem como

imagem somente leitura né você como montar no windows em pode usar o prazer que o próprio internet opera windows é que explora né para fazer isso é só personalize tá bom tê-la como sua saúde leitura aí você vai lá vasculhando o tabi regedit e mexe nele ou na altos né se você tiver montando a esse dentro do linux é bom cala aviões quiser procurando lá na diretório também eu sou o rick rapper tal rede recuperar o regi per que a ele tem ação para eles que parou ainda está eu vou mostrar aqui que você consegue

fazer essa captura também e uma análise tá aqui é para na versão do windows tá então você escolhe aqui onde é que tá o arquivar não vai ficar lá dentro do sistema eu dou para o sítio barra conferir sei lá faz procura não é horrível do face e bota o arquivo respostas para você vai escolher aí o nome né mas régis acontecer escolhe qual o prof e qual é o rio é que você quer ou se são todos os dias e bota aqui vip a gente vai coletar tudo tá outra forma é você coletar somente

né a aqui tá horrível é o software tá e te viu aí vai ver lá que tem na vai dar horrível aqui desculpa que é um registro né a chave de registro tá só eu sei que ela cobra para o sol se ele vai pegar a sua mente aquele registro solta tá aí você pode abrir salvar ele não deixa de tesão como testei vai abrir todo aqui o que que tem dentro do registro tá então vai pegar aqui ó o shampoo nacional né que o windows 7 professional service pack 1 tá é o estado dele

aqui três de dezembro 2011 ah tá ele vai o produto que nem me o tipo de processador e etc tá bem é isso aqui é de um vídeo tá dentro a diferença lá depois a gente vocês olham tudo bem aí com seu método para fazer a análise registro aí tem dois tipos também a gente falou aquele anterior é que o você monta né e vai procurando ali não tem uma análise não caneca eu que inicializa a partir da imagem referência suspeita né então usa seu de todo o registro interna do inter já então onde começa

que a gente vai mais não que a gente mostra a imagem linda e essa interior a gente faz colher de captura né fazer análise e vamos esse pós-morte você vai analisar posteriormente tá então aqui eu consigo montar aí malha aí eu consigo montar como se fosse uma imagem domingo são paulo do desculpa do windows normal né aí eu teria somente né acabei confundindo com você tu nessa aqui a gente consegue a montar e analisar posteriormente na fazer o da e sopra e usar outros outros recursos como regime para fazer análise tá aqui não aqui eu

monto o meu próprio a imagem e aí vou compartilhando aqui dentro do que o windows 10 né o windows system32 config militares também seguem essa linha tá então vai estar aqui aqui embaixo o sam seguiu de software system tá vendo todos os meus arquivos aqui meu minha chave que existe aqui vezes aqui tá aqui só que aqui corrente usa naquele fica dentro da pasta do perfil de usuário não é nem te deita tá e a aqui essa acesso ao registro é que a gente faz né quando eu falei aqui agora eu vou conseguir soletrar corretamente

né que é o red na rrg edito né então abro lá vendo atualização rede e consegui abrir o editor do registro e a gente vê ali atrás tá oi e aí como é que a gente faz o capítulo do registro né então pode ser captura completo né do bicho da máquina investigada como tava falando entendeu mente ou posso licitação somente dos arquivos do registro a parte do sistema live né pra gente viu ali como é que eu faço com regi regi pera lá então aí rosa separada bem análise posterior tá e aí eu pego somente

chamado de imagem do registro é só vou ter mais do registro só nós live ele falou que tem situações como servidor de empresa que está ali para sua mente não pode ser desligado tá você fazer um bebê completo por exemplo a gente vai fazer outro tipo de cópia lógica e aí você pode fazer a cópia do registro também tá então a gente viu com reggae hip como é que faz isso e vamos ver agora como é que faz com f te catar vai ter que a igreja então você abra você cair veja o wi-fi obter

infortec files tá clica ali e aí para abrir essa janelinha aqui na obtém system fly então você seleciona aqui o ps world record ao registro falha é a registradora pegar todos os dias aquele dia aqui em cima e as arquivos de senha a decoração de senha aí você vai no brasil escolhe aonde você quer salvar desculpa quando você quando você quer salvar esse arquivo tá esses arquivos que ele vai obter e aí vai conversa e fazer nela ntfs5 para você começa a fazer todo a cópia desse registro está bem e salvar lá dentro e tá

aqui ó wilson tá deu hq local e usa ele the full são sei que existem os registros tá então todos os registros ficam aqui dentro beleza bom então ó deixar onde fazer o exame do registro tá é o autops que eles encontra o reggae hip né que é por meio do modo do respectivo de que a gente viu anteriormente moda receita que tiver consigo pegar a existe a juíza do do registro ainda consegue ver depois que postei a verdade é que estão próximas aulas quais são de fato os registros que estão a informando sobre as

atividades recentes a do usuário então é imprescindível a gente vai utilizar aqui né pegar a imagem florença e vai vestir a 10 incluindo está com vocês plugando nela tá depois a gente fala de algumas ferramentas então quais são os locais de inicialização automática do inglês está o o registro na ele salva né eu tenho um registo de salmão quais são os arquivos está que vão inicializar conforme o boot do menino está é por exemplo antivírus ele precisa que ser inicializados logo assim que unidos é ligado né porque se tiver algum ruth ali alguma forma de

que logo objeto algum mal ali ele tenta identificar o mar ah tá e que logo e puder também gosta de ser desligado né quando você liga para suspeitas lá então você ligou ele já inicializado ali tá tentando finalizar também antes do antivírus para não ser capturada ali não ser detectado o processo tá bom então isso aí edson são paulo é claro que existe pode detectar de vai passar aí sábado tipo de capturar também tá bom então esse aqui é uma forma padrão usa assim né de tentar bolar isso aí tá bem e aí o usuário

não perceber também e aí ontem uma lista de programas altos inicializados ele pode ser encontrado por ele chave de registro de entradas aqui eu tenho alguns tá a foto está aqui embaixo deu de que a gente se vê ele fala que do autor ou né achar we use o esmalte novamente com persistente dentro do windows tá então tem aquela aqui é localmachine traduz-se em tá é corrente contra o set global system que corrente control service como é que eu softwares ponte veste observe seu uma serve a conta existente do system do software tá e tem

várias outras aqui também então é esse aqui que pode ficar triste né isso a gente a fazer investigação de baseado em registro é olhar esse registro e ver quais são os programas estão executando no outro ano é assim que liga tá porque eu posso ter arquivo suspeito aqui como bauer ok uma forma de investigar isso aqui nesse você no sinal na mulher que é na mão novamente é através do alto luan sabe que é um recurso uma ferramenta aqui do windows tá doces interno que daqui a um utilitário que mostra uma conhecimento compreensiva né ao

tênis alisado tá que mostra o a monitora os aqui são ligados né no início no startup né então mostre programa são configurados e roda no sistema do salão do login dá uma são inicializados né o aplicação de unhas com muita resporte o ex plorer ensina os vídeos play e certa tá então ele vai procurar ali esses todo esse processo você é bem simples você ba o pai tá executa tá então não tem nada a ver não tenho muita muito problema então você executa né consegue ver aqui que a imagem da do meio jardins também tem

no referência tá então tá aqui ó hklm ela com a machine system control certo conseguiu rdp clipe tá que vai encontrado tem outra aqui eu cm de altura redshell a rose amor berton aos seus browsers também microsoft mail sete então eu tenho uma série de programas aqui são inicializadas no boot né no ou no blog aí você consegue está deve sim e fazer aqui procurando quais são as tarefas agendadas estado através do alto longe daqui tá disponível lá no site da microsoft doces interno tranquilo pessoal conta isso bom então a chave do programa instalado registra

que vai ser para a próxima aula tá e quando a gente vai procurar mas entendi ali quais são o alto lona quando ele se alisado e aqui a gente vai procurar programas que estão instalados né o que estavam instalados tá na máquina poder deixava de registro tá então você faz uma captura ali então quer saber quando nós falamos tava instalados ali tá bem então a gente usa vai procurar esse aqui na próxima aula tá pode deixar o gostinho aí tá aí aqui são as referências tá o livro dorms a doação am-se divino diferença não vai

saber muito bom aí alguns sites aqui que vocês podem procurar tá trouxe mais informações tudo bem e valeu obrigado a todos