Funções e Estruturas do Registry do Windows

Questions and Answers

Qual das seguintes opções descreve corretamente a função do Registry do Windows?

Interage exclusivamente com a interface gráfica do usuário.

Limita a comunicação apenas entre hardware e software malicioso.

Guarda apenas dados temporários dos usuários.

Armazena e gerencia dados de configuração para garantir a persistência das aplicações. (correct)

O que caracteriza a estrutura do Registry do Windows?

Armazenamento de dados em tabelas relacionais acessíveis via SQL.

Organização em arquivos XML que contêm dados em formato texto.

Estrutura baseada em 'hives', onde cada hive contém chaves e valores. (correct)

Organização em pastas que imitam a estrutura de diretórios do sistema de arquivos.

Qual das seguintes afirmativas sobre os hives do Registry é correta?

Cada hive armazenará no máximo 1000 chaves.

Os hives só podem ser acessados por softwares de terceiros.

Os hives são usados apenas para armazenar informações do sistema operacional.

Existem cinco hives principais, sendo HKEY_CURRENT_USER um deles. (correct)

Os valores no Registry possuem três componentes. Quais são eles?

Nome, tipo e dado.

Qual é o papel do configuration manager em relação ao Registry do Windows?

Interagir com o sistema operacional para gerir o Registry.

Qual é a função do utilitário 'assoc' no Windows?

Listar todas as associações de tipos de ficheiros.

O que representa o alias 'HKCU' no registro do Windows?

Configurações do utilizador corrente.

Quais informações são registradas em 'HKEY_LOCAL_MACHINE' (HKLM)?

Dados referentes a hardware e drivers.

Qual comando é utilizado para listar processos no Windows com uso de memória maior ou igual a 45 MB?

tasklist /APPS /FI 'MEMUSAGE ge 45000'

Qual informação não é visível numa captura offline do Registry no que diz respeito ao HKCU?

Vista virtual.

Qual ferramenta da Sysinternals é frequentemente usada para executar processos remotamente em redes Windows?

psexec

O que faz o utilitário 'ftype' quando utilizado sem parâmetros?

Lista os tipos de extensões com suas respectivas linhas de comando.

Qual opção do comando pslist permite mostrar detalhes dos threads de um processo?

-d

Qual é a tecla de atalho para abrir o Gestor de Tarefas no Windows?

CTRL + SHIFT + ESC

Qual é a função do comando tasklist /FI 'IMAGENAME eq notepad.exe'?

Mostrar processos com nome exato notepad.exe

Qual das seguintes opções não é uma ferramenta da Sysinternals listada na documentação?

tasklist

Qual das seguintes opções não corresponde a uma função do comando pslist?

Mostrar o uso de CPU

A ferramenta Process Explorer é usada principalmente para que tipo de tarefa?

Locar processos em execução

Qual comando é utilizado para desativar o serviço de pesquisa do Windows?

SC Config WSearch Start=Disabled

Qual é a ferramenta utilizada para analisar bases de dados EDB no Windows?

WinSearchDBAnalyzer

Qual tipo de base de dados é utilizado pelo Windows Search no Windows 11?

SQLite3

O que indica a sequência de octetos 53 51 4C 69 74 65 20 66 6F 72 6D 61 74 20 33?

Formato de arquivo SQLite3

Quais arquivos são gerados como logs no contexto do Windows Search com bases de dados SQLite3?

.db-shm e .db-wal

Qual é a localização padrão das bases de dados do Windows Search no Windows 11?

%AllUsersProfile%\Microsoft\Search\Data\Applications\Windows\

O que pode ser feito utilizando a ferramenta WinSearchDBAnalyzer?

Recuperar registros apagados

Qual comando deve ser executado no modo administrador para interromper o serviço WSearch?

SC Stop WSearch

Qual é o valor padrão de frequência de salvaguarda do registro no Windows?

A cada 10 dias

Qual ferramenta pode ser usada para descodificar valores de marcadores temporais?

DCODE

Qual das seguintes opções representa um local do registro onde os marcadores temporais podem ser encontrados?

HKEY_LOCAL_MACHINE

Qual comando é utilizado para consultar tarefas agendadas no Windows?

schtasks.exe /query /v /FO CSV

Qual sistema operativo é referido como tendo desativado a salvaguarda automática do registro?

Windows 18.03

Qual utilitário é mencionado como capaz de monitorar a interação entre uma aplicação e o sistema operacional?

ProcMon

Qual das seguintes referências é um exemplo de um caminho do registro que contém marcadores temporais?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\TelemetryController

O que o utilitário w32tm pode ser usado para calcular?

Converter Filetime64

Qual é a principal função da ferramenta USBDeview?

Visualizar registros de dispositivos USB que estavam ligados ao computador.

Qual dos seguintes detalhes é correto sobre o Windows Assigned Device ID?

É criado pelo Windows na primeira inserção do dispositivo.

O que a ferramenta USBOblivion faz?

Apaga registros da presença de dispositivos USB na máquina local.

Qual dos arquivos contém registros referentes a drivers ativados ou inibidos pelo Windows?

C:\Windows\INF\setupapi.dev.log

Que tipo de relatório a ferramenta WLEAPP produz?

Relatório em HTML e arquivos TSV.

Qual é uma característica do WLEAPP em relação ao arquivo setupapi.dev.log?

Suporta apenas processamento do arquivo setupapi.dev.log.

O que indica que um dispositivo USB foi registrado na máquina?

A inserção do dispositivo é registrada em um log específico.

O que ocorre com o Windows Assigned Device ID quando o dispositivo é usado em outro computador?

O ID é alterado para refletir a nova máquina.

Study Notes

Análise Digital Forense Avançada - Windows Serviços e Artefactos Forenses

• O tópico abrange análise forense avançada de sistemas Windows.
• Inclui investigações em áreas como serviços e artefactos digitais.
• Apresenta trabalhos de investigação recentes do docente Patrício Domingues.
• O material cobre análise forense digital de aplicações Android (Garmin Connect, Zepp Life), notificações do Windows 10 e análise do TikTok.
• Inclui ferramentas como o PKfail - UEFI #1 e #2, focado em validação de código, e análise de arranque.
• Discute a falha de segurança PKfail em computadores com UEFI (Amercian Megatrends, AMI).
• Fornece exemplos para os alunos.
• Abrange o arranque de sistemas Windows com UEFI e verificação por assinatura digital.
• Aborda a ferramenta "IsBootSecure" para análise do seguro de arranque de Windows.
• Descreve o utilitário "sigcheck" e sua utilização para validar assinaturas digitais de arquivos EXE.
• Detalhes sobre a ferramenta "VirusTotal" (/vt=VirusTotal) na verificação de software malicioso.
• Discute linha de comandos e processos no Windows (ex: comando "cmd").
• Enfatiza a importância de usar "_" (underline) em vez de espaços em nomes de pastas e ficheiros.
• Mostra como listar processos no Windows (utilizando tasklist, task manager, Explorer ).
• Apresenta ferramentas como: psexec, pslist, pskill, psservice ... para administração de sistemas.
• Inclui informações sobre o utilitário "pslist" dos Sysinternals para listar processos em sistemas Windows.
• Apresenta o conceito de serviços e exemplos de serviços Windows.
• Abordagem a serviços usando o utilitário "psservice", listagem de serviços e tipos (ex: "running" .
• Apresenta formas como determinar o ficheiro executável associado a um serviço usando "sc qc"
• Fornece um caso de estudo sobre o serviço "SVCHOST.EXE"
• Explica as ferramentas de análise de ficheiros EXE para determinar se são de 32 ou 64 bits.
• Detalhes sobre a ferramenta "exiftool" para analisar metadados de ficheiros.
• Aborda a ferramenta "trid" para identificação de tipos de ficheiros.
• Discute os marcadores temporais em registos do Windows (RFC 822, ISO 8601, UNIX Timestamp, Mac Timestamp, FileTIME).
• Descreve a ferramenta "WLEAPP" e seu processamento de logs do Windows.
• Explica as "aplicações UWP" (Universal Windows Platform)
• Explica como listar as aplicações UWP com "tasklist /apps"
• Detalhes sobre a ferramenta "UserAssistView" para análise de artefactos relacionados com o utilizador no registry.
• Explica a estrutura e organização das chaves do registry (HIVEs: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, HKEY_CURRENT_CONFIG).
• Informa sobre o utilitário "reg query" para leitura de registos e "reg export" para exportar partes do registry.
• Apresenta os utilitários "regedit" e "regscanner" para navegação, pesquisa e edição do registry.
• Detalhes relativas a chaves "ShellBags" no Registry
• Aborda a ferramenta "SBECMD" para análise de dados de "ShellBags".
• Explica a sintaxe com o comando "forfiles"
• Detalhes sobre como se determinar o tipo de ficheiros (32 ou 64 bits).
• Abrange a ferramenta "sysmon" e sua utilização na monitorização da atividade no registry.
• Principais diferenças entre aplicações de 32 e 64 bits em sistemas Windows (incluindo o uso da chave "WOW6432Node").
• Descreve o processo e ferramenta "RegRipper" de análise de conteúdo do Registry.
• Discute como são gerenciados e armazenados registros de uso recente (MRU) no Windows Registry, usando exemplos como apps, pastas visitadas, entradas no "Run" e outros comandos.
• Descreve o comportamento do serviço BITS ADMIN.EXE

Description

Neste quiz, você testará seus conhecimentos sobre o Registry do Windows, sua estrutura, valores e a função do configuration manager. Responda perguntas sobre os hives do Registry e o utilitário 'assoc'. Prepare-se para aprimorar sua compreensão sobre um dos componentes cruciais do sistema operacional Windows.