Funções e Estruturas do Registry do Windows

Questions and Answers

Qual das seguintes opções descreve corretamente a função do Registry do Windows?

Interage exclusivamente com a interface gráfica do usuário.

Limita a comunicação apenas entre hardware e software malicioso.

Guarda apenas dados temporários dos usuários.

Armazena e gerencia dados de configuração para garantir a persistência das aplicações. (correct)

O que caracteriza a estrutura do Registry do Windows?

Armazenamento de dados em tabelas relacionais acessíveis via SQL.

Organização em arquivos XML que contêm dados em formato texto.

Estrutura baseada em 'hives', onde cada hive contém chaves e valores. (correct)

Organização em pastas que imitam a estrutura de diretórios do sistema de arquivos.

Qual das seguintes afirmativas sobre os hives do Registry é correta?

Cada hive armazenará no máximo 1000 chaves.

Os hives só podem ser acessados por softwares de terceiros.

Os hives são usados apenas para armazenar informações do sistema operacional.

Existem cinco hives principais, sendo HKEY_CURRENT_USER um deles. (correct)

Os valores no Registry possuem três componentes. Quais são eles?

Nome, tipo e dado. (B)

Qual é o papel do configuration manager em relação ao Registry do Windows?

Interagir com o sistema operacional para gerir o Registry. (D)

Qual é a função do utilitário 'assoc' no Windows?

Listar todas as associações de tipos de ficheiros. (A)

O que representa o alias 'HKCU' no registro do Windows?

Configurações do utilizador corrente. (C)

Quais informações são registradas em 'HKEY_LOCAL_MACHINE' (HKLM)?

Dados referentes a hardware e drivers. (D)

Qual comando é utilizado para listar processos no Windows com uso de memória maior ou igual a 45 MB?

tasklist /APPS /FI 'MEMUSAGE ge 45000' (A)

Qual informação não é visível numa captura offline do Registry no que diz respeito ao HKCU?

Vista virtual. (A)

Qual ferramenta da Sysinternals é frequentemente usada para executar processos remotamente em redes Windows?

psexec (A)

O que faz o utilitário 'ftype' quando utilizado sem parâmetros?

Lista os tipos de extensões com suas respectivas linhas de comando. (A)

Qual opção do comando pslist permite mostrar detalhes dos threads de um processo?

-d (A)

Qual é a tecla de atalho para abrir o Gestor de Tarefas no Windows?

CTRL + SHIFT + ESC (A)

Qual é a função do comando tasklist /FI 'IMAGENAME eq notepad.exe'?

Mostrar processos com nome exato notepad.exe (D)

Qual das seguintes opções não é uma ferramenta da Sysinternals listada na documentação?

tasklist (B)

Qual das seguintes opções não corresponde a uma função do comando pslist?

Mostrar o uso de CPU (A)

A ferramenta Process Explorer é usada principalmente para que tipo de tarefa?

Locar processos em execução (B)

Qual comando é utilizado para desativar o serviço de pesquisa do Windows?

SC Config WSearch Start=Disabled (C)

Qual é a ferramenta utilizada para analisar bases de dados EDB no Windows?

WinSearchDBAnalyzer (C)

Qual tipo de base de dados é utilizado pelo Windows Search no Windows 11?

SQLite3 (D)

O que indica a sequência de octetos 53 51 4C 69 74 65 20 66 6F 72 6D 61 74 20 33?

Formato de arquivo SQLite3 (C)

Quais arquivos são gerados como logs no contexto do Windows Search com bases de dados SQLite3?

.db-shm e .db-wal (C)

Qual é a localização padrão das bases de dados do Windows Search no Windows 11?

%AllUsersProfile%\Microsoft\Search\Data\Applications\Windows\ (B)

O que pode ser feito utilizando a ferramenta WinSearchDBAnalyzer?

Recuperar registros apagados (B)

Qual comando deve ser executado no modo administrador para interromper o serviço WSearch?

SC Stop WSearch (B)

Qual é o valor padrão de frequência de salvaguarda do registro no Windows?

A cada 10 dias (B)

Qual ferramenta pode ser usada para descodificar valores de marcadores temporais?

DCODE (D)

Qual das seguintes opções representa um local do registro onde os marcadores temporais podem ser encontrados?

HKEY_LOCAL_MACHINE (D)

Qual comando é utilizado para consultar tarefas agendadas no Windows?

schtasks.exe /query /v /FO CSV (C)

Qual sistema operativo é referido como tendo desativado a salvaguarda automática do registro?

Windows 18.03 (B)

Qual utilitário é mencionado como capaz de monitorar a interação entre uma aplicação e o sistema operacional?

ProcMon (D)

Qual das seguintes referências é um exemplo de um caminho do registro que contém marcadores temporais?

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\TelemetryController (D)

O que o utilitário w32tm pode ser usado para calcular?

Converter Filetime64 (C)

Qual é a principal função da ferramenta USBDeview?

Visualizar registros de dispositivos USB que estavam ligados ao computador. (C)

Qual dos seguintes detalhes é correto sobre o Windows Assigned Device ID?

É criado pelo Windows na primeira inserção do dispositivo. (D)

O que a ferramenta USBOblivion faz?

Apaga registros da presença de dispositivos USB na máquina local. (D)

Qual dos arquivos contém registros referentes a drivers ativados ou inibidos pelo Windows?

C:\Windows\INF\setupapi.dev.log (C)

Que tipo de relatório a ferramenta WLEAPP produz?

Relatório em HTML e arquivos TSV. (A)

Qual é uma característica do WLEAPP em relação ao arquivo setupapi.dev.log?

Suporta apenas processamento do arquivo setupapi.dev.log. (A)

O que indica que um dispositivo USB foi registrado na máquina?

A inserção do dispositivo é registrada em um log específico. (A)

O que ocorre com o Windows Assigned Device ID quando o dispositivo é usado em outro computador?

O ID é alterado para refletir a nova máquina. (B)

Flashcards

tasklist /APPS

Comando no Windows para listar aplicações.

tasklist /FI "MEMUSAGE ge 45000"

Comando para listar processos com 45 MB ou mais de utilização de memória.

tasklist /APPS /FI "MEMUSAGE ge 45000"

Comando que lista aplicações com mais de 45MB de uso de memória.

Sysinternals

Conjunto de ferramentas gratuitas para análise de sistemas Windows.

psexec

Ferramenta Sysinternals usada para executar processos remotamente.

Gestor de Tarefas

Ferramenta integrada no Windows para gerenciar processos.

Process Explorer

Ferramenta Sysinternals para visualização e controle de processos.

Tecla Windows + V

Atalho para acesso ao histórico de cópias.

assoc

Utilitário que lista a associação de uma determinada extensão de ficheiro.

ftype

Utilitário que apresenta, para cada tipo de extensão, a linha de comando a ser executada para abrir o ficheiro.

HKCU (HKEY_CURRENT_USER)

Armazena configurações e informações específicas para o utilizador corrente, como diretórios, cores, fundo e configurações personalizadas.

HKLM (HKEY_LOCAL_MACHINE)

Armazena as configurações do sistema operativo, do hardware e do software instalado, incluindo os drivers instalados.

HKU (HKEY_USERS)

Armazena as configurações do sistema, aplicações e outras configurações para todos os utilizadores activos no sistema.

Servio WSearch

Servio Windows que indexa arquivos para busca rpida.

Desativar WSearch

Configurao para impedir que o servio indexe arquivos.

WinSearchDBAnalyzer

Ferramenta para analisar bases de dados relacionadas pesquisa do Windows.

Bases de dados SQLite3

Tipo de banco de dados usado pelo Windows 11 para buscas.

Windows.db

Principal base de dados SQLite3 do Windows Search no Windows 11.

Localizao das bases de dados

Local padro das bases de dados do Windows Search no Windows 11.

Magic Number SQLite3

Sequncia de octetos (53 51 4C 69 74 65 20 66 6F 72 6D 61 74 20 33) que identifica arquivos SQLite3.

DB Browser for SQLite

Ferramenta para visualizar e trabalhar com arquivos SQLite3.

O que é o Registry do Windows?

O Registry é um banco de dados central que armazena configurações e informações importantes do sistema operacional Windows e das aplicações instaladas.

O que são 'hives' no Registry?

'Hives' são como pastas dentro do Registry, organizando as informações em diferentes categorias.

Quais são os tipos de dados no Registry?

Cada entrada no Registry é um 'valor' que contém três partes: o nome, o tipo e o dado. O tipo define o formato do dado (texto, número, etc).

Quais são os cinco 'hives' principais do Registry?

Os cinco 'hives' principais são: HKEY_CURRENT_CONFIG, HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE e HKEY_USERS.

O que é HKEY_CLASSES_ROOT?

HKEY_CLASSES_ROOT (HKCR) define como o Windows reage a ações do utilizador, como abrir arquivos e executar programas.

Windows Assigned Device ID

Identificador atribuído pelo Windows a dispositivos USB na primeira inserção no sistema. Este ID é específico para cada computador e não é constante para o mesmo dispositivo ao ser conectado em outros computadores.

USBDeview

Ferramenta gratuita que permite visualizar todos os dispositivos USB que já foram conectados a um computador, incluindo os que não estão conectados atualmente. Também exibe o Windows Assigned Device ID.

USBOblivion

Ferramenta anti-forense que apaga os registros de presença de dispositivos USB na máquina local, removendo rastro de conexões anteriores.

setupapi.dev.log

Arquivo localizado em C:\Windows\INF\setupapi.dev.log que contém registros referentes a drivers ativados e desativados pelo Windows. Registra também a inserção de dispositivos USB.

WLEAPP

Ferramenta Python 3 com interface GUI para processamento de artefatos Windows, incluindo o arquivo setupapi.dev.log. Permite analisar o histórico de conexões USB.

Relatório WLEAPP

WLEAPP gera relatórios em HTML e TSV (tab-separated values), contendo informações sobre dispositivos USB, drivers e outros eventos.

Ferramentas anti-forenses e análise de logs

Ferramentas e técnicas utilizadas para remover rastros de atividade digital ou para analisar logs do sistema para identificar eventos importantes, como a inserção e remoção de dispositivos USB.

Formatos de marcação temporal no Registry

O Registry do Windows utiliza vários formatos para armazenar marcas temporais, como a data de criação de uma chave ou o tempo do sistema.

Conversão de marcas temporais

É possível converter valores de marcações temporais do Registry em datas e horas legíveis usando ferramentas como o DCODE, cyberchef.io, ou o utilitário w32tm.

Exemplo de marca temporal

Um valor como 'E407080001001F000B0015001C00FF00' representa uma data e hora no Registry, que pode ser convertida para '2020-08-31 11:21:28.2550000 Z'.

Salvaguarda automática do Registry

O Windows 7 e 10 possuem um processo chamado RegIdleBackup que salva automaticamente o Registry a cada 10 dias, útil para análise forense.

Localização dos backups do Registry

Os backups do Registry são armazenados em 'C:\Windows\System32\config\RegBack', um diretório específico para recuperar informações em caso de problemas.

Monitorar atividade no Registry

O utilitário Procmon (SysInternals) permite monitorar as interações de programas com o Registry, facilitando a detecção de alterações suspeitas.

Procmon e suas funcionalidades

Procmon pode monitorar uma gama variada de eventos, incluindo acesso ao Registry, arquivos, rede, etc., auxiliando na análise de atividades.

Ferramentas para análise forense

Ferramentas como Procmon e o backup automático do Registry podem ser cruciais para a análise forense de um sistema, ajudando a determinar o que ocorreu no passado.

Study Notes

Análise Digital Forense Avançada - Windows Serviços e Artefactos Forenses

• O tópico abrange análise forense avançada de sistemas Windows.
• Inclui investigações em áreas como serviços e artefactos digitais.
• Apresenta trabalhos de investigação recentes do docente Patrício Domingues.
• O material cobre análise forense digital de aplicações Android (Garmin Connect, Zepp Life), notificações do Windows 10 e análise do TikTok.
• Inclui ferramentas como o PKfail - UEFI #1 e #2, focado em validação de código, e análise de arranque.
• Discute a falha de segurança PKfail em computadores com UEFI (Amercian Megatrends, AMI).
• Fornece exemplos para os alunos.
• Abrange o arranque de sistemas Windows com UEFI e verificação por assinatura digital.
• Aborda a ferramenta "IsBootSecure" para análise do seguro de arranque de Windows.
• Descreve o utilitário "sigcheck" e sua utilização para validar assinaturas digitais de arquivos EXE.
• Detalhes sobre a ferramenta "VirusTotal" (/vt=VirusTotal) na verificação de software malicioso.
• Discute linha de comandos e processos no Windows (ex: comando "cmd").
• Enfatiza a importância de usar "_" (underline) em vez de espaços em nomes de pastas e ficheiros.
• Mostra como listar processos no Windows (utilizando tasklist, task manager, Explorer ).
• Apresenta ferramentas como: psexec, pslist, pskill, psservice ... para administração de sistemas.
• Inclui informações sobre o utilitário "pslist" dos Sysinternals para listar processos em sistemas Windows.
• Apresenta o conceito de serviços e exemplos de serviços Windows.
• Abordagem a serviços usando o utilitário "psservice", listagem de serviços e tipos (ex: "running" .
• Apresenta formas como determinar o ficheiro executável associado a um serviço usando "sc qc"
• Fornece um caso de estudo sobre o serviço "SVCHOST.EXE"
• Explica as ferramentas de análise de ficheiros EXE para determinar se são de 32 ou 64 bits.
• Detalhes sobre a ferramenta "exiftool" para analisar metadados de ficheiros.
• Aborda a ferramenta "trid" para identificação de tipos de ficheiros.
• Discute os marcadores temporais em registos do Windows (RFC 822, ISO 8601, UNIX Timestamp, Mac Timestamp, FileTIME).
• Descreve a ferramenta "WLEAPP" e seu processamento de logs do Windows.
• Explica as "aplicações UWP" (Universal Windows Platform)
• Explica como listar as aplicações UWP com "tasklist /apps"
• Detalhes sobre a ferramenta "UserAssistView" para análise de artefactos relacionados com o utilizador no registry.
• Explica a estrutura e organização das chaves do registry (HIVEs: HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, HKEY_CURRENT_CONFIG).
• Informa sobre o utilitário "reg query" para leitura de registos e "reg export" para exportar partes do registry.
• Apresenta os utilitários "regedit" e "regscanner" para navegação, pesquisa e edição do registry.
• Detalhes relativas a chaves "ShellBags" no Registry
• Aborda a ferramenta "SBECMD" para análise de dados de "ShellBags".
• Explica a sintaxe com o comando "forfiles"
• Detalhes sobre como se determinar o tipo de ficheiros (32 ou 64 bits).
• Abrange a ferramenta "sysmon" e sua utilização na monitorização da atividade no registry.
• Principais diferenças entre aplicações de 32 e 64 bits em sistemas Windows (incluindo o uso da chave "WOW6432Node").
• Descreve o processo e ferramenta "RegRipper" de análise de conteúdo do Registry.
• Discute como são gerenciados e armazenados registros de uso recente (MRU) no Windows Registry, usando exemplos como apps, pastas visitadas, entradas no "Run" e outros comandos.
• Descreve o comportamento do serviço BITS ADMIN.EXE

Description

Neste quiz, você testará seus conhecimentos sobre o Registry do Windows, sua estrutura, valores e a função do configuration manager. Responda perguntas sobre os hives do Registry e o utilitário 'assoc'. Prepare-se para aprimorar sua compreensão sobre um dos componentes cruciais do sistema operacional Windows.