En la mayoría de investigaciones forenses será necesario encontrar la versión exacta del Sistema Windows sujeto a investigación. Esto a razón de que muchas características y remanentes forenses son específicas de ciertas versiones de Windows, y por lo tanto solo pueden ser adecuadamente visualizadas conociendo la versión del Sistema Operativo. En caso no se conozca esta información se pueden llegar a conclusiones erróneas.

Para identificar la versión de Windows se requiere encontrar y analizar el archivo “system”. El cual es un archivo “hive” o colmena desde donde se puede obtener la información pertinente.

Para la siguiente práctica se utilizará la imagen forense capturada desde un disco duro de un Sistema Windows XP, y la herramienta reglookup.

RegLookup

El proyecto RegLookup está dedicado al análisis directo de los archivos de registro basados en Windows NT. RegLookup proporciona herramientas en línea de comandos, un API C, y un módulo Python para acceder a las estructuras de datos del registro. Este proyecto se enfoca en proporcionar herramientas para los examinadores digitales forenses (aunque es útil para diversos propósitos), e incluye algoritmos para capturar estructuras de datos borradas desde las colmenas del registro.

Se procede a montar el Sistema de Archivos pertinente desde la imagen forense.

Se ejecuta la herramienta reglookup. La opción “-p” especifica un filtro para la ruta. Solo las llaves y valores bajo esta ruta del registro serán mostradas. Para la presente práctica el archivo “hive” o colmena de nombre “software” se ubica en la ruta “/WINDOWS/system32/config/”.

$ reglookup -p "/Microsoft/Windows NT/CurrentVersion" /mnt/windows_mount2/WINDOWS/system32/config/software

La información sobre la versión de Windows se detalla en la llave de registro “CurrentVersion,SZ,5.1”. El valor “5.1” corresponde al Sistema Operativo Windows XP:

Para la siguiente práctica se utilizará otra imagen forense obtenida desde el disco duro de un Sistema Operativo Windows, para identificar la versión del Sistema Operativo Windows.

$ reglookup -p "/Microsoft/Windows NT/CurrentVersion" /mnt/windows_mount1/Windows/System32/config/SOFTWARE

La información expuesta en la llave de registro es “CurrentVersion,SZ,6.1”. El valor “6.1” indica que se trata de un Sistema Windows 7.

En esta llave del registro también se encuentran valores como “CurrentBuild”, “Product Name”, “Product ID”, entre otra información valiosa para un analista forense.

Fuentes:

http://projects.sentinelchicken.org/reglookup/
http://stackoverflow.com/questions/14648796/currentversion-value-in-regi...
http://msdn.microsoft.com/en-us/library/windows/desktop/ms724832%28v=vs....
http://en.wikipedia.org/wiki/List_of_Microsoft_Windows_versions