Analizar el Registro de Windows utilizando Windows Registry Recovery
Windows Registry Recovery o por su traducción al idioma español “Recuperador del Registro de Windows”, es una aplicación capaz de leer archivos conteniendo colmenas de registro de Windows 9x, NT, 2K, XP, 2K3. Esta herramienta extrae diversa información útil sobre la configuración y ajustes de la máquina. La colmena de registro puede ser también exportada en formato REGEDIT4. Cada tópico de datos puede ser guardado a CSV. Y esta diseñado con varias interfaces de documentos.
Se procede a iniciar WRR (Windows Registry Recovery). Para seleccionar una colmena hacer clic en la opción “File -> Open” o "Abrir -> Archivo", para luego buscar y seleccionar el archivo pertinente.
A continuación se describen los exploradores individuales.
Información de Archivo. En este explorador se visualizan las propiedades básicas y sumas de verificación de los archivos.
Explorador del Registro de Seguridad. Muestra todos los registros de seguridad utilizados en el Registro de Windows. Contador de uso, SID del propietario, SID del grupo, lista de todas las claves afectadas y se muestran lista de SACL (System Access Control List) y DACL (Discretionary Access Control List) para cada registro con banderas y permisos enumerados. Este explorador está disponible solo para colmenas de registro basados en sistemas NT.
SAM. Muestra el SID de la máquina y partes del SYSKEY. Enumera las cuentas locales y grupos, además de algunas de sus propiedades. Este explorador esta disponible solo para colmenas SAM de registro basados en sistemas NT.
Instalación de Windows. Muestra el nombre del sistema Windows, ID y clave, fechas de instalación e información sobre el registro del usuario. Enumera todo el software instalado con descripciones y fecha de instalación además de una lista de revisiones instaladas con descripción. Este explorador esta solo disponible para colmenas SOFTWARE de registro (El ID del Producto y clave pueden ser extraídos también de la colmena SYSTEM).
Hardware. Muestra una rápida visión general (CPU, Monitores, Tarjeta de Red y Sonido, además de tarjetas de Red), y mapeo completo de dispositivo de los dispositivos configurados que funcionan sobre la máquina. Estos son mostrados en el árbol “Like Device Manager” con algunas propiedades. Este explorador esta disponible para la colmena SYSTEM del registro.
Datos de Usuario. Muestra el usuario y nombre de la máquina, además de un árbol basado en el menú “Inicio” para la colmena USER seleccionada. Este explorador está disponible para la colmena USER del registro.
Aplicaciones de Inicio. Enumera las aplicaciones registradas para ser iniciadas después del inicio del sistema. Este explorador solo está disponible para colmenas SOFTWARE de registro basados en sistemas NT.
Servicios y Controladores. Enumera todos los servicios y controladores instalados con sus propiedades. Este explorador está disponible para colmenas SYSTEM del registro basados en sistemas NT.
Configuración de Red. Muestra todos los clientes de red instalados, protocolos y servicios. Enumera todas las conexiones de red definidas con configuración TCP/IP. Este explorador está disponible solo para colmenas SYSTEM del registro basados en sistemas NT.
Configuración del Firewall de Windows. Muestra los ajustes (reglas) para el Firewall de Windows. Este explorador está disponible solo para colmenas SYSTEM del registro basados en sistemas NT.
Entorno. Muestra todas las variables del entorno. Este explorador está disponible para colmenas SYSTEM del registro basados en sistemas NT.
Carpetas Shell. Muestra carpetas Shell (carpetas conocidas al sistema). Este explorador está disponible para la colmenas SYSTEM del registro basados en sistemas NT.
Outlook Express. Extrae todas las cuentas y configuraciones de Outlook Express. Este explorador está disponible solo para colmenas USER del registro basados en sistemas NT.
Datos en Bruto. Este explorador muestra todo el registro en el formato de árbol conocido. Contiene una búsqueda poderosa y un interprete de datos.
Fuentes:
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/