📝 Как проанализировать реестр Windows на наличие изменений?

Реестр Windows

Реестр – это централизованная иерархическая база данных в Microsoft Windows, которая идля хранения информации, необходимой для настройки системы для различных пользователей, приложений и устройств. Реестр Windows предоставляет собой архив для сбора и хранения следующих данных параметров конфигурации компонентов Windows, установленного оборудования/программного обеспечения/ приложений и другого. Система реестра была впервые представлена в Windows 95 и с тех пор и с тех пор используется во всех ОС Windows.

Все конфигурационные параметры реестра находятся в разделах реестра:

  • HKEY_CLASSES_ROOT – Конфигурационные параметры для приложений и файлов;

  • HKEY_CURRENT_USER – Данные, которые ссылаются на профиль пользователя, который вошел в систему;

  • HKEY_LOCAL_MACHINE – Конфигурационные параметры системного уровня;

  • HKEY_USERS – Данные для всех учетных записях на текущем устройстве;

  • HKEY_LOCAL_CONFIG  – Информационные сведения об используемом профиле оборудования.

 

 

 

 

Не станем подробно изучать структуру, а лучше отметим, что всякий раз, когда пользователь устанавливает программное приложение, оборудование или драйвер устройства в операционной системе на базе Windows, начальные параметры конфигурации этих программ и драйверов сохраняются в виде ключей и их значений в реестре Windows. Во время использования программного или аппаратного обеспечения изменения, внесенные в конфигурацию, также находят свое отражение в реестре.

С точки зрения форензики, реестр Windows – это сундук с сокровищами. Он не только хранит записи о настройках приложений и ОС, но также отслеживает и пользовательские данные и хранит их в хорошо структурированном виде. Для анализа реестра мы можем использовать MUICache View, Process Monitor, Registry Editor, Regshot, USBDeview и RegRipper.

Для наглядности, для начала,  разберем инструмент Regshot.

Regshot

Утилита предназначена для фиксации изменений в реестре ОС Windows на основе создания снимков реестра и их дальнейшего сравнения.

Возможности:

  1. Выполнение снимков реестра Windows

  2. Сравнение 2-х снимков;

  3. Нахождение между ними изменений

Cкачать можно по ссылке https://sourceforge.net/projects/regshot

Запустим Regshot в нашей системе и сделаем первый снимок, выбрав при этом html отчет

 

 

После того как первый снимок будет сделан, зайдем в настройки браузера и зададим прокси сервер с ip адрессом 192.168.44.1 и портом 8080 и сохраним изменения

 

 

После этого сделаем второй снимок реестра, после чего нажмём “Compare” для вывода на экран html файла с данными по изменению реестра. И теперь мы наглядно видим в каких ветках реестра были добавлены наши значения

 

Проверим и найдем указанное значение в реестре:

 

 

 



2021-09-14T12:05:17
Аудит ИБ