13 marzo, 2013

Conocer la fecha de modificación del registro en Windows

Hola a to@s

Desde Hispasec  llega una novedad en forma de herramienta para mejorar el trabajo de los analistas forenses, su nombre es RegistryDate y con esta aplicación se puede conocer la fecha de modificación del registro de forma que se pueda saber en qué momento se añadió una clave determinada.

clip_image002

Como bien nos ilustra Sergio de los Santos en su artículo, Microsoft no cuenta con ninguna herramienta nativa para poder averiguar cuándo ha sido variada alguna sección del registro de Windows, es por ello que esta herramienta se convierte en una gran utilidad para el análisis forense, ya que, especificando en línea de comando la rama que se desea explorar, ésta devolverá la fecha de la última modificación.

Por otro lado también cuenta con búsquedas entre dos fechas y la mejor forma de ver cómo funciona es con un ejemplo sencillo:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion

Se podría hacer una búsqueda del tipo:

RegistryDate.exe HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion 27-11-2012:12.00 27-11-2012:12.14

De esta manera, buscará todas las ramas que hayan sido modificadas durante ese periodo de tiempo (entre las 12.00 y las 12.14 del 27-11-2012).

La herramienta cuenta con dos formatos RegistryDate64, que accede a las ramas en Windows de 64 bits, y RegistryDate, que funciona en cualquier sistema (claro está que no podrá ver las ramas nativas de 64 bits). Otro dato a resaltar es que la versión de 64 bits requiere .NET4.

clip_image004
Imagen 1: En un Windows de 64 bits

El motivo para la realización de dos versiones es principalmente porque a día de hoy todavía existen muchas aplicaciones compiladas para 32 bits.
clip_image006
Imagen 2: En un Windows de 32 bits

Si deseas probar la aplicación no dudes en dirigirte al enlace de Hispasec donde podrás descargar esta gran herramienta que te podría ayudarte a solucionar grandes intrigas en tus trabajo como analista forense digital.

Para acabar, recuerda que si quieres aprender mucho más sobre los secretos de los sistemas Microsoft Windows, te recomendamos leer el libro de Sergio de los Santos "Máxima Seguridad en Windows: Secretos Técnicos“, o siempre puedes suscribirte al Canal RSS de Windows Técnico para estar al día de las novedades e información técnica de interés.
 
No seáis malos. 
 

0 comentarios:

Publicar un comentario