Fundamentos da Forense Digital

“A central hierarchical database in Windows … used to store information necessary to configure the system for one or more users, applications, and hardware devices. The Registry contains information that Windows continually references during operation, such as profiles for each user, the applications installed on the computer and the types of documents each can create, property sheet settings for folders and application icons, what hardware exists on the system, and which ports are being used.”

Fonte: Microsoft Computer Dictionary.--5th ed., Redmond, Washington, Microsoft Press, 2002, p. 445

É assim possível afirmar que o registo do Windows apesar dos seus ficheiros estruturantes, contém uma estrutura lógica em constante utilização pelo sistema operativo, armazenando um conjunto de informações necessárias ao seu funcionamento.

A estrutura lógica do registo do Windows contém:

1. Chaves do registo, chaves de nome “Software” e “System”, pertencentes ao hive “HKEY_CURRENT_CONFIG”.
2. Subchaves do registo, onde são armazenadas as informações do registo (e.g.: subchave “Fonts”).
3. Valores do registo, são estes que contêm as informações especificando o seu tipo na coluna respetiva (e.g.: REG_DWORD - valor binário de 32-bit, REG_QWORD – valor binário de 64-bit).

Os cinco principais Hives na estrutura lógica do sistema operativo MS Windows pode ser observada na Figura 52.

Figura 52 - Root Hive

Hive do registo (Root Keys) são caracterizados pelo prefixo “HKEY_”, abreviatura de “Handle to a KEY”.

São 5 os hive principais, armazenadas nos diversos ficheiros que compõem o registo, apesar de apenas o HKEY_USERS e o HKEY_LOCAL_MACHINE serem considerados como os verdadeiros hive, sendo os restantes atalhos ou aliases para ramificações dentro destes.

 

Hive	Abreviatura	Descrição	Link
HKEY_CURRENT_USER	HKCU	Points to the user profile of the currently loggedon user	Subkey under HKEY_USERS corresponding to currently loggedon user
HKEY_USERS	HKU	Contains subkeys for all loaded user profiles	Not a link
HKEY_CLASSES_ROOT	HKCR	Contains file association and COM registration information	Not a direct link; rather, a merged view of HKLM\SOFTWARE\Classes and HKEY_CURRENT_USER\SOFTWARE\Classes
HKEY_LOCAL_MACHINE	HKLM	Global settings for the machine.	Not a link
HKEY_CURRENT_CONFIG	HKCC	Current hardware profile	HKLM\SYSTEM\CurrentControlSet\Hardware Profiles\Current
HKEY_PERFORMANCE_DATA	HKPD	Performance counters	Not a link

Fonte: Windows Internals.--6th ed., Part 1,
 Redmond, Washington, Microsoft Press, 2012, p. 281

 

Os ficheiros de registo encontram-se localizados nas seguintes pastas:

Ficheiros do registo referente ao sistema operativo

Ficheiros do registo referente a cada utilizador

 

5.1.1.  Editor de registo (RegEdit)

O editor de registo, na sua versão gráfica, permite fazer a exportação de uma, ou mais chaves de registo (Figura 53).

Figura 53 - Exportação do Registo através do RegEdit

Através da linha de comandos:

 

5.1.2.  ERUNTgui

A aplicação ERUNTgui (Figura 54), permite realizar o backup, restauro e otimização do registo, sendo de interesse forense a possibilidade de realizar o backup do registo, possibilitando assim a sua posterior análise.

Figura 54 - Exportação do Registo através do ERUNTgui

 

5.1.3.  RAWCopy

A aplicação RAWCopy (Figura 55), permite a cópia dos setores do disco onde os ficheiros em utilização se encontram, ultrapassa-se deste modo a limitação da cópia de ficheiros abertos pelo sistema.

Figura 55 - Exportação do Registo através do RAWCopy

Através do RAWCopy foi possível obter uma cópia do ficheiro SAM e SOFTWARE com o sistema em execução (Figura 56).

Figura 56 - Ficheiros exportados pelo RAWCopy

Fonte: https://github.com/jschicht/RawCopy