Análise do Registry do Windows
O que é Análise do Registry do Windows?
Análise do Registry do WindowsExame forense das hives do Registry do Windows para recuperar configuração, atividade do utilizador e evidências de execução ou persistência.
O Registry do Windows é uma base de dados hierárquica que guarda a configuração do sistema, aplicações e perfis de utilizador em hives como SYSTEM, SOFTWARE, SECURITY, SAM e NTUSER.DAT por utilizador. A sua análise recupera evidências valiosas: autoruns, histórico de dispositivos USB, ShellBags, UserAssist, BAM/DAM, RecentDocs, TypedURLs e AppCompatCache. Os analistas usam Registry Explorer, RegRipper, RECmd e Autopsy para processar hives em direto ou de imagem, incluindo logs de transação com chaves não gravadas. Os resultados apoiam investigações de persistência, movimento lateral, roubo de credenciais e atividade interna, sendo correlacionados com timelines e registos.
● Exemplos
- 01
Extrair as chaves Run e RunOnce do NTUSER.DAT para identificar um mecanismo de persistência malicioso.
- 02
Analisar a subchave USBSTOR para identificar os dispositivos removíveis ligados a uma estação.
● Perguntas frequentes
O que é Análise do Registry do Windows?
Exame forense das hives do Registry do Windows para recuperar configuração, atividade do utilizador e evidências de execução ou persistência. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Análise do Registry do Windows?
Exame forense das hives do Registry do Windows para recuperar configuração, atividade do utilizador e evidências de execução ou persistência.
Como se defender contra Análise do Registry do Windows?
As defesas contra Análise do Registry do Windows costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Análise do Registry do Windows?
Nomes alternativos comuns: Forense do Registry, Análise de hives.