Análisis Forense al Registro de Windows utilizando FRED

  • Posted on: 27 February 2015
  • By: ReYDeS

Forensic Registry EDitor (FRED) o Editor Forense del Registro, es un editor de colmenas para el registro de Microsoft Windows. El proyecto nació por el requerimiento de tener un razonablemente buen visor para las colmenas del registro de Windows, al momento de realizar análisis forense. Incluye algunas funcionalidades no encontradas en editores de registros “libres” normal como un visor hexadecimal con interprete de datos y una función de reporte la cual puede ser fácilmente ampliada con plantillas de reporte personalizadas ECMAScript·

Para las siguientes demostraciones se utiliza la imagen forense obtenida de un sistema Windows 7.

Hacer clic en “Menu -> Forensic Tools -> Fred” para ejecutar la herramienta requerida.

Antes de abrir un “hive” o colmena del registro de Windows, se requiere montar previamente la imagen forense. Luego hacer clic en a opción “File -> Open hive”.

Ubicar la carpeta en la cual residen las colmenas, para el caso de un Sistema Windows 7 estos archivos se ubican en “/Windows/System32/config/”. Se selecciona el archivo colmena de nombre “SAM”, para luego hacer clic en el botón de nombre “Open”.

Se presenta una nueva ventana con el contenido del archivo de colmena SAM. Un panel izquierdo con el Nodo y la Fecha de Última Modificación. En el panel derecho la Llave, su Tipo y Valor. Y en el panel inferior derecho, un volcado en hexadecimal del contenido de la llave seleccionada, como también en texto.

Para generar el reporte de la colmena hacer clic en la opción “Reports -> Generate report”.

En la nueva ventana presentada se define por defecto el tipo de colmena, y la información a reportar sobre esta, es decir información sobre las cuentas de usuario.

Al hacer clic en el botón de nombre “Generate” se genera y presenta el reporte. Se obtiene información detallada sobre las cuentas de usuario; como el Nombre, RID (Relative ID), Nombre completo, Último Login, Último cambio de la contraseña, Expiración de la Cuenta, Total de Logins, Logins Fallidos, Banderas, Recordatorio de Contraseña, entre otra información relevante.

Para la siguiente demostración se apertura la colmena del registro de nombre “SOFTWARE”.

Se procede a generar el reporte pertinente. Es factible también no incluir algunos ítemes en el reporte desactivando el “check” correspondiente.

El Reporte generado incluye información sobre los programas ejecutados al iniciar el sistema, la lista del perfil, y la información sobre la versión de Windows.

Este mismo procedimiento se puede aplicar a otros archivos colmena. También es factible habilitar el soporte para escritura de los archivos colmena, pues todas son abiertas por defecto en modo de Solo-Lectura. Para esto utilizar la opción “Edit -> Enable write support”.

Fuentes:

https://www.pinguin.lu/fred
http://www.forensicswiki.org/wiki/Windows_Registry
http://www.ecmascript.org/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete