jueves, 12 de febrero de 2015

Registry Explorer es MUST en su arsenal Forense

Saludos BugBu5t3r5!

Sé que no es tan común escribir dos posts seguidos sin embargo cosas como estas no pueden esperar! 

La herramienta en cuestión está hecha por EricZimmerman (sino saben quién es les sugiero encarecidamente que echen un ojo a su blog vale muchísimo la pena) se llama Registry Explorer y tal como su nombre lo indica te permite ver llaves del registro sin embargo te permite hacerlo offline, es decir puedes extraer tus llaves del registro de tu evidencia y cargarlas en la herramienta, ya jugamos un poco con ella  y la verdad es que vale muchísimo la pena, tiene un par de features por ahí que no encontraran en otro parcer del Registo, Le pedimos chance a Eric para escribir una pequeña reseña de las características principales de la herramienta y como usarla asi que se las presentamos.

La herramienta la pueden descargar aquí, les recomiendo que lo hagan en Firefox o IE puesto que Chrome bloqueaba la descarga. Una vez descargada solo extraigan el contenido del .zip y listo doble click al .exe y verán algo similar a la siguiente imagen.




La siguiente imagen muestra las partes principales de la GUI son muy sencillos de entender por lo cual no entraremos en más detalles.


Hay una barra de menú principal desde la cual puedes configurar algunas cosas interesantes


File: desde la cual puedes agregar una llave del registro offline sin embargo yo les recomiendo que hagan drag and drop ya que así pueden agregar más de una llave a la vez.

View: la única opción disponible aquí son los mensajes los cuales son una ventana aparte y marcan errores o alertas sobre las actividades hechas en RE.


Options: aquí tenemos 3 opciones interesantes y son


-De los diferenciadores de esta herramienta, la primera es que nos permite tener o no activada la función de recuperar llaves o valores eliminados.
-Mostar las llaves ocultas, hablaremos más acerca de esta funcionalidad abajo pero por ahora RE te ayuda a no distraerte de tu trabajo viendo llaves que no entran en el scope de tu investigación y eso lo logras ocultando ciertas llaves y puede configurarlo para esta instancia o todos los casos.
-De la funcionalidad de arriba te permite administrar las llaves que no están siendo mostradas.


Bookmarks: aquí se te permite realizar marcadores de información que puedas considerar importante o bien RE ya te da algunos que están predefinidos, en esta parte Eric ha pedido a la comunidad que puedan compartir sus marcadores para así generar una base solidad de marcadores de información relevante en casos de forense o IR.

Help: el clásico Quick Help e información de la versión.

Para abril las llaves y sub-llaves del registro y ver su contenido solo hay expandir presionando la flecha a que está a un costado de cada uno de los valores.  En el panel de árbol se nos indica cuantos valores contiene la llave o sub-llave que estamos analizando si ven que hay muchas llaves con # Values=0 no quiere decir que la llave este vacía, solo significa que esa llave en particular con contiene ningún registro sino otra sub-llave.   En este panel también tenemos la última fecha de escritura de cada llave, sub llave y valor, en mi opinión esto también es una característica muy buena de esta herramienta ya que a veces esta fecha es nuestro principal objetivo sobre todo cuando estamos buscando actividad maliciosa en un sistema. 


Ahora después del contenido de la llave del registro en este ejemplo SYSTEM hay dos campos mas Associated Deleted Records y Unassociated Deleted Records ¿qué son? Empecemos por decir que estas opciones están aquí porque la opción Recover deleted key/values esta activada. Un registro Associated está representado por un icono de registro verde y significa que la ruta hacia esta llave existe de forma activa en el registro por lo tanto también encontraremos la ruta en el nodo raíz de la parte de arriba, es decir las llaves Associated están disponibles tanto  en el árbol activo como en el campo de llaves eliminadas, el icono básicamente es para indicarte en donde puedes encontrar la llave o valores dentro del árbol activo.




Los registros Unassociated son registros que han sido eliminados sin embargo el hive o llave del registro ya no está dentro del árbol activo y no hay ya valores disponibles para mostrar. 



Ya visualizando los valores de las llaves y sub-llaves vemos que los valores seleccionados en el panel de árbol se reflejan en lo que podríamos llamar un panel de tabla en donde se enlistan los valores, dependiendo del tipo de valor que selecciones es la vista que tendremos por ejemplo si seleccionara el Friendly Name (value type= RegSz) en USBSTOR de un dispositivo de Apple en el panel de vista vería la transcripción de los valores asociados como se muestra a continuación


O bien si el tipo de valor que eligiera fuera algo como lo que típicamente vemos en MountedDevices (value type=RegBinary) veríamos algo similar a esto.

Esta facilidad que ofrece esta herramienta de visualizar los valores es eficiente durante nuestra investigaciones puesto que no hay que cambiar de vista de HEX a Transcript.

La herramienta tambien te permite crear tus propios marcadores y asignarles una de las siguientes categorías:

-          Autoruns
-          Communication
-          Logging
-          Network
-          Operating system
-          Program execution
-          Software
-          Storage
-          User configuration
-          User files and folders
-          User general
-          User network
-          User visualization
-          Web browsing

Se permite también dar un nombre y una descripción y se incluirá el path de la llave o sub llave que acabas de marcar.



Todos estos marcadores generados por el usuario pueden ser vistos y administrados desde el Bookmark Manger al cual puedes acceder en el menú de inicio.


También hay una carpeta externa en la cual están los marcadores tanto los ya definidos como los que como usuarios vamos generando,


Si al descargar su herramienta aun no tienen ningún marcador pre definido pueden encontrar el repositorio aquí el plan es que también los marcadores que ustedes generen los puedan subir e ir generando un buen repositorio de marcadores dinámicos.

Al principio también mencionamos la capacidad de ocultar llaves, esto se logra dando clic derecho sobre la llave a ocultar, definitivamente cuando estamos analizando el registro en alguno de nuestros casos no revisamos cada una de las llaves y sub-llaves en este ejemplo ocultare la llave de Control Panel de mi NTUSER.DAT si en el menú principal no está activada la función de show hidden keys no verán nada si esta activada verán las llaves ocultas con un icono de una carpeta con un cuadro rojo. 






En las pruebas y un caso en el cual ya utilice RE esta función ha probado ser muy útil.

Por ultimo RE nos permite filtrar y hacer búsquedas dentro de nuestro registro, aunque sepamos bien en donde está la información relevante en nuestros casos a veces no recordamos la ruta completa al presionar CTRL+F se abre una barra de búsqueda en mi ejemplo yo busque por la llave USBSTOR dentro de SYSTEM y al abrir mi árbol se despliega de forma automática en donde fue encontrada la llave.

De verdad les recomiendo que puedan utilizar esta herramienta recuerden que en BugBu5t3r5 no estamos casados con ninguna marca ni proveedor solo ponemos lo que consideramos y hemos privado que es de utilidad. Espero que disfruten y le den chance a esta herramienta.

-Bu5t3R-





1 comentario:

  1. Muy interesante.
    Se agradece que todavia haya gente que comparta herramientas :)
    Saludos.

    ResponderBorrar

Déjanos tu opinion