Extraer Información del Registro de Windows con Registry Viewer

  • Posted on: 2 June 2014
  • By: ReYDeS

AccessData Registry Viewer permite visualizar el contenido de los registros de sistemas Windows. A diferencia del editor de registro de Windows, el cual muestra solo el registro del sistema actual, Registry Viewer permite visualizar los archivos de registro de cualquier sistema. Registry Viewer también permite acceder al almacenamiento protegido del registro, el cual contiene contraseñas, nombres de usuario, y otra información no factible de acceder con el editor de registro de Windows.

Registry Viewer proporciona diversas herramientas para obtener y reportar información importante del registro. La vista completa del registro muestra todos los contenidos de un archivo de registro, mientras las áreas comunes muestran solo aquellas secciones del registro más probables de contener datos significativos. Desde cualquier vista se puede seleccionar llaves y subllaves para añadirlas a un reporte. La vista del Reporte muestra aquellas llaves seleccionadas, permitiendo imprimir solo la información relevante. Todas las vistas también contienen dos paneles de detalle: un visor de propiedades de la llave y un visor hexadecimal. El visor de propiedades de la llave muestra cualquier valor de propiedad asociado con una llave seleccionada, mientras que el visor hexadecimal muestra un valor seleccionado en formato hexadecimal.

Ejecutar AccessData Registry Viewer.

El mensaje presentado se origina a razón de que Registry Viewer requiere un “dongle” para acceder a todas las características del programa. Si un “dongle” válido no está instalado cuando se inicia el programa, este se ejecutará en modo “Demo”. Para ello se procede a hacer clic en el botón de nombre “Sí”. En la siguiente ventana solo hacer clic en el botón “Cancel”.

Será presentada una nueva ventana donde se indica que no se ha encontrado un “Dongle” y por lo tanto Registry Viewer operará en modo Demo. Hacer clic en el botón “Aceptar”.

Access Data Registry Viewer ya está en funcionamiento.

Para la siguiente práctica se ha montado la imagen forense capturada desde el disco duro de un Sistema Windows 7, y se procederá a abrir el archivo “hive” o colmena de nombre “SAM”. Este archivo maneja las cuentas de usuario y las configuraciones de seguridad.

Hacer clic en la opción “File -> Open”.

Recorrer los directorios pertinentes dentro de la imagen forense montada para ubicar y seleccionar el archivo de nombre “SAM”. Luego hacer clic en el botón de nombre “Abrir”.

Access Data Registry Viewer interpretará y mostrará toda la información pertinente extraída del archivo "hive" o colmena "SAM". Queda a consideración del análista forense utilizar la herramienta para realizar su investigación.

Fuentes:

http://www.accessdata.com/support/product-downloads
http://support.microsoft.com/kb/256986

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1