Recuperar Llaves del Registro de Windows Eliminadas utilizando reglookup-recover

  • Posted on: 24 February 2022
  • By: ReYDeS

El registro de Windows es una base de datos jerárquica, la cual almacena ajustes para el sistema operativo Microsoft Windows, y para aplicaciones las cuales optan por utilizar el registro. El Kernel, controladores de dispositivo, servicios, gestión de seguridad de cuentas, e interfaces de usuario pueden todas utilizar el registro.

En otras palabras el registro de Windows contiene información, ajustes, opciones, y otros valores para los programas y hardware instalado, sobre todas las versiones del sistema operativo Windows.

Algunas veces se intenta ocultar actividades eliminando llaves (keys) en el registro de Windows. Aunque de hecho la eliminación de llaves del registro de Windows podría ser generado por actividades inherentes del sistema operativo, o una acción totalmente consciente por parte de un usuario. Afortunadamente existe la posibilidad de recuperar algunas llaves eliminadas.

reglookup-recover intentará buscar la colmena (hive) del registro de Windows, por estructuras de datos eliminados, para luego mostrar aquellas encontradas en un formato CSV.

Al ejecutar la herramienta reglookup-recover sin opciones se presente un resumen de sus opciones.

$ sudo reglookup-recover

Se ejecuta la herramienta reglookup-recover. Únicamente se define la ruta hacia el archivo. Esto volcará todo el contenido factible de ser recuperado desde la colmena del registro de nombre SOFTWARE.

$ sudo reglookup-recover /mnt /windows_mount/ Windows/System32/config/SOFTWARE

Para extraer todos los datos sin asignar disponibles, incluyendo el espacio sin asignar no interpretable, además de los datos asociados con las celdas interpretables, en la colmena de un usuario específico, se utilizan dos opciones adicionales.

$ sudo reglookup-recover -r -l /mnt /windows_mount/ Users/informant/NTUSER.DAT

La opción “-l” muestra celdas las cuales podrían no ser interpretadas como estructuras válidas del registro al final de los resultados.

La opción “-r” muestra el contenido en bruto de celdas, las cuales fueron interpretadas como estructuras de datos intactas. El resultado adicional no aparecerá sobre la misma linea como los datos interpretados.

reglookup-recover genera una salida al estilo de valores separados por comas (CSV). Para mayor información sobre la sintaxis del formato general se sugiere revisar la ayuda del comando reglookup.

Fuentes:

https://forensicswiki.xyz/wiki/index.php?title=Windows_Registry
https://linux.die.net/man/1/reglookup-recover
https://linux.die.net/man/1/reglookup

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/
Facebook: https://www.facebook.com/alonsoreydes
Youtube: https://www.youtube.com/c/AlonsoCaballero


Suscribete