fbpx
depositare una copia forense in cancelleria
Come depositare una copia forense in cancelleria
20 Febbraio 2022
competenze dpo
Compiti e competenze DPO
13 Giugno 2022

Analisi forense di registri di Windows

Nell’ambito della disk forensics, l’analisi forense di registri di Windows rappresenta uno degli ambiti principali.

Considerato che la maggior parte dei sistemi in commercio sono equipaggiati con il sistema operativo Microsoft Windows, la diretta conseguenza è che anche nell’analisi forense incontriamo spesso questi sistemi.

Indice degli argomenti

A cosa servono i registri di Windows?

I registri di Windows possono essere paragonati a un mix tra file di informazioni, file di configurazione e file di log.

Al loro interno troviamo informazioni di vario tipo, come ad esempio:

  • informazioni sul sistema e sugli account
  • uso di dispositivi USB esterni
  • utilizzo di file e cartelle
  • ultimi file aperti
  • programmi installati e programmi eseguiti

Il registro ha una struttura ad albero in cui sono presenti chiavi, sottochiavi e valori ed è organizzato in cinque sezioni dette hives:

  • HKEY_CLASSES_ROOT
  • HKEY_CURRENT_CONFIG
  • HKEY_CURRENT_USER
  • HKEY_LOCAL_MACHINE
  • HKEY_USER
analisi forense di registri di Windows

Le chiavi riportano informazioni di vario tipo sotto il profilo del dettaglio dei dati e del timestamp.

Come eseguire l’analisi forense di registri di Windows

L’analisi forense di un registro di Windows richiede preliminarmente la disponibilità dei file di registro.

Tali file possono essere acquisiti singolarmente oppure estratti da una copia forense.

L’analisi del file e successivamente della specifica porzione di riferimento dipende dal dato che ci interessa esaminare.

Facciamo alcuni esempi.

Analisi forense di registri per informazioni di sistema e account

La versione del sistema operativo è disponibile nella chiave

Software\Microsoft\Windows NT\CurrentVersion

Il nome del sistema esaminato è disponibile nella chiave

System\CurrentControlSet\Control\ComputerName\ComputerName

La timezone è disponibile nella chiave

System\CurrentControlSet\Control\TimeZoneInformation

Analisi forense del registro per uso di dispostivi di memoria USB

L’elenco dei dispositivi collegati è disponibile nelle chiavi

System\CurrentControlSet\Enum\USBSTOR
System\CurrentControlSet\Enum\USB

La data di utilizzo dei dispositivi di memoria USB è disponibile nella chiave

System\CurrentControlSet\Enum\USBSTOR\Disk&Ven_[...]\USBSerial#\Properties

Per esempio possiamo risalire a gli ultimi file aperti da un programma, a gli ultimi file eseguiti oppure i file che vengono automaticamente caricati all’avvio e molto altro ancora, di seguito alcune delle chiavi usate per tali esigenze:

Analisi forense di registri per uso di file e cartelle

L’elenco degli ultimi file aperti è disponibile nella chiave

Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

Le ultime ricerche nella barra degli indirizzi di Windows Explorer è disponibile nella chiave

Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths
Software\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

Software di analisi forense di registri di Windows

L’analisi forense dei registri di Windows può essere realizzata con diversi software tra cui RegRipper, AccessData Registry Viewer, Autopsy.

.
.