Forense em Windows: Análise de Registro - Ferramentas e Referências

Assim como disponibilizei no final do mês passado referências e uma lista de ferramentas sobre o tema "Análise de Memória", o faço hoje no que diz respeito à Análise de Registro Windows.

O material publicado é parte do material base de criação das aulas/exercícios/prova da Disciplina "Forense em Windows" no Mestrado em Informática Forense da UnB.

Livros:

I - Windows Forensic Analysis v2, Harlan Carvey

Capítulo 3 – Windows Memory Analysis, Capítulo 4 – Registry Analysis

II - EnCE – The Official Encase Certified Examiner Study Guide, 2^nd Edition, Steve Bunting

Capítulos 3 – First Response e 9 – Windows Operating System Artifacts e 10 – Advanced Windows - Registry

III - Malware Forensics – Investigating and Analyzing Malicious Code, James Aquilina, - Eoghan Casey, Cameron Malin

Capítulos 3 – Memory Forensics: Analyzing Physical and Process Memory Dumps e 9 – Analysis of a Suspect Program

IV – Microsoft Windows Registry Guide, 2^nd Edition

V - Livro "Registry Forensics" ainda a ser publicado pelo Harlan Carvey <= Update: Publicado em Jan/2011 - http://www.amazon.com/Windows-Registry-Forensics-Advanced-Forensic/dp/1597495808

Papers / Documentações:

“Inside the Registry” Windows NT Magazine – Mark Russinovich

http://technet.microsoft.com/en-us/library/cc750583.aspx

Windows 7 UserAssist Registry Keys - Didier Stevens: Into The Box Magazine.

http://intotheboxes.wordpress.com/2010/04/05/into-the-boxes-issue-0x1/

Guide To Profiling USB Device Thumbdrives and Drive Enclosure on Win7, Vista, and XP http://blogs.sans.org/computer-forensics/files/2009/09/USBKEY-Guide.pdf

http://blogs.sans.org/computer-forensics/files/2009/09/USB_Drive_Enclosure-Guide.pdf

RegRipper Documentation - http://regripper.net/RR/Documents/Documents.zip - Registry Reference Deleted Apps ACMRU Windows Forensic Analysis - RegRipper version 2.02 Cheat Sheet

AccessData Registry Viewer Documentation http://www.accessdata.com/supplemental.html

Registry Quick Find Chart Registry Offset UserAssist Registry Key

Forensic Analysis of the Windows Registry in Memory - Brendan Dolan-Gavitt: http://www.dfrws.org/2008/proceedings/p26-dolan-gavitt.pdf

Recovering Deleted Data From the Windows Registry - Timothy Morgan: http://www.dfrws.org/2008/proceedings/p33-morgan.pdf

Forensic Analysis of Unnalocated Space in Windows Registry Hive Files – Jolantha Thomasen (University of Liverpool)

http://www.sentinelchicken.com/data/JolantaThomassenDISSERTATION.pdf

Ferramentas:

1) Virtual Machines:

1.0) VMWare Workstation, Server ou Player: http://www.vmware.com

1.1) VM SIFT Workstation 2.0: https://computer-forensics2.sans.org/community/siftkit/

2) Ferramentas Free/GPL:

2.1 - FTKImager - http://www.accessdata.com/downloads.html#FTKImager
2.2 - Process Monitor - Sysinternals - http://technet.microsoft.com/en-us/sysinternals/bb896645.aspx

2.4 – Reg Ripper (+ RegSlack, + RegScan, +RipXp) - http://regripper.net/?page_id=150

2.5 – Registry Viewer - AccessData: http://www.accessdata.com/downloads.html#ForensicProducts

2.6 – Registry Summary Report Files - AccessData: http://www.accessdata.com/downloads/rsrfiles/AllRSRFiles.zip

2.7 – RegExtract (GUI/CLI) – WoanWare: http://www.woanware.co.uk/downloads/

2.8 – RegShot - http://sourceforge.net/projects/regshot/files/

2.9 – RegLookup - http://projects.sentinelchicken.org/reglookup/download/

2.10 – USBDeview - http://www.nirsoft.net/utils/usb_devices_view.html

2.11 – USBDeviceForensics - http://www.woanware.co.uk/usbdeviceforensics/

2.12 – UserAssist - http://blog.didierstevens.com/programs/userassist/

2.12 – FGET – https://www.hbgary.com/community/free-tools/

2.13 – TimeLord - http://computerforensics.parsonage.co.uk/timelord/timelord.htm

2.14 – MiTec Windows Registry Recovery – http://www.mitec.cz/wrr.html

3) Ferramentas Comerciais:

3.1 – AccessData FTK 3.1 + Registry Viewer – http://www.accessdata.com

3.2 – Encase Forensics 6.17 – http://www.guidancesoftware.com

UserAssist Decoder V3.3 Enscript - https://support.guidancesoftware.com/forum/downloads.php?do=file&id=832 (requer acesso ao suporte da Guidance)

Registry Examiner Enpack - https://support.guidancesoftware.com/forum/downloads.php?do=file&id=752 (requer acesso ao suporte da Guidance)

ICCyber 2010 - Avanços Tecnológicos em Perícia Computacional e Resposta a Incidentes

Conforme informado aos interessados que me contactaram na ocasião e via email, disponibilizei via slideshare a apresentação que fiz no ICCyber 2010, com o tema "Avanços Tecnológicos em Perícia Computacional e Resposta a Incidentes". Os slides também estão disponíveis no meu perfil do LinkedIn.

Agradeço a todos mais uma vez pela boa receptividade ao tema e pela ótima troca de experiências ocorrida durante este excelente evento.

Sandro Süffert

Participação em Eventos: ICCyber 2010, Fecomércio II e III Senasic

Recentemente tive o prazer de ser convidado a palestrar e participar de painéis em alguns eventos da área de Combate a Crimes Digitais e Segurança Cibernética - seguem os detalhes dos recentemente confirmados:

• No dia 17 de setembro, estarei falando pela quarta vez no ICCyber - evento organizado pela Polícia Federal. Este ano, o tema será "Avanços Tecnológicos em Perícia Computacional e Resposta a Incidentes" . Mais informações em http://www.iccyber.org (Brasília)

• Em 28 de setembro, estarei participando do painel CyberWar do "II Congresso Crimes Eletrônicos", organizado pela Fecomércio. Detalhes em http://is.gd/f2Nvd (São Paulo)

• Em 27 de outubro terei a honra de participar do III Senasic: Seminário da Rede Nacional de Segurança da Iformação e Criptografia - evento organizado pelo Gabinete de Segurança Institucional da Presidência da República (GSIPR), no Painel "Definição de Parâmetros para o I Exercício Nacional de Proteção de Infraestruturas - I ENAPI". Link oficial: http://is.gd/f2NaP (Brasília)

Caso tenha a oportunidade de encontrar - em qualquer dos supra-listados eventos - os usuários que tanto colaboram com este blog através de comentários e sugestões, será um grande prazer.