El registro de Windows Breve introduccin al registro de Windows El registro de Windows no es mas que una base de datos jerrquica donde

se almacenan todos los detalles relativos a la configuracin del sistema operativo. Est compuesto por los siguientes elementos:

Subrboles: Raices o divisiones principales de que se compone estructuralmente el registro. laves: !rincipales contenedores ubicados dentro de cada subrbol. !ueden contener subclaves o entradas. Entradas: "atos reales cu#o valor afecta al sistema. Si abrimos el editor del registro se corresponder$an con los elementos que aparecen en el panel derec%o.

&$sicamente el registro se guarda en fic%eros separados' almacenando cada uno de ellos una seccin en particular. ( su ve) cada uno de estos fic%eros tendr$a su .log equivalente' los cuales act*an como fic%eros de transacciones. uando se modifica alguna de las secciones que componen el registro de Windows los cambios se escribir$an en primer lugar como registros en el arc%ivo .log actuali)ndose despu+s el fic%ero correspondiente a la seccin en particular desde los datos escritos en el disco. ,os fic%eros # sus secciones equivalentes ser$an los siguientes: Nombre de la clave -.E/0,1 (,02( -34E5S(2 -.E/0,1 (,02( -34E5Securit# -.E/0,1 (,02( -34E5Software -.E/0,1 (,02( -34E5S#stem -.E/09SERS5:9ser S3"; -.E/09SERS5"efault Ruta absoluta del fichero 6S#stemRoot65s#stem785config5S(2 6S#stemRoot65s#stem785config5Securit# 6S#stemRoot65s#stem785config5Software 6S#stemRoot65s#stem785config5S#stem 6S#stem"rive65"ocuments and Settings5 :username;54<9ser.dat 6S#stemRoot65s#stem785config5default

,as entradas definidas anteriormente' # las cuales aparecer$an en el panel derec%o del editor del registro' estan formadas por 8 elementos:

4ombre del valor <ipo de dato del valor: El cual puede ser uno de los siguientes' mencionndose a continuacin *nicamente los ms comunes:

RE=0"W1R" 9na doble palabra >8 palabras de ?@ bits A 78 bits A B b#tesC. ,as entradas se visuali)an

en formato %eDadecimal. 9tili)ado para la ma#or$a de informacin sobre controladores de dispositivos # servicios.

RE=0B34(R/ Entradas con datos binarios sin formato. Se utili)a principalmente para almacenar informacin de componentes de %ardware. RE=0SE adenas de teDto de longitud fija. ,a ma#or parte de entradas se corresponden a datos booleanos o tienen valores de cadena de teDto corto. ,a notacion s) >StringFEeroC es debido a que las entradas se terminan con un b#te cero al final. Regedit ocultar$a el G de la terminacin de los datos. RE=029,<30SE adena m*ltiple 9tili)ado para almacenar listas o valores m*ltiples. ,os valores estn separadas por comas o espacios # la entrada est terminada por dos caracteres nulos >ocultados por RegeditC. RE=0EH!(4"0SE adena de datos de longitud variable. Este tipo de datos inclu#e variables que se resuelven cuando un programa o servicio utili)a los datos. RE=0&9,,0RES19R E0"ES R3!<1R 9tili)ada para almacenar una lista de recursos para componentes de %ardware' por loq estar$a compuesto por series de matrices anidadas. RE=0,34. ontiene un v$nculo simblico entre los datos # un valor del registro determinado.

-.E/0 ,(SSES0R11< Se trata de una subclave de -.E/0,1 (,02( -34E5Software. En este subrbol eDisten dos tipos de datos:

3nformacin de asociacin de arc%ivos. "atos de configuracin para objetos 12.

Esta seccin es en realidad un alias # deriva sus datos desde dos or$genes: -.E/0,1 (,02( -34E5Software5 lasses -.E/0,1 (,02( -34E5Software5 lasses "e esta forma se permite el registro de clases por usuario. Esta funcionalidad implica que los equipos con usuarios m*ltiples pueden poseer diferente informacin para las clases registradas cuando un usuario espec$fico instala el software. -.E/0 9RRE4<09SER ontiene la informacin de configuracin para el usuario que tiene iniciada una sesin actualmente en el sistema. ontiene valores que afectan al sistema operativo' las aplicaciones # las directivas. "ic%os valores estan contenidos en el arc%ivo 4<9ser.dat almacenado en 6S#stem"rive 65"ocuments and Settings5:username;.

-.E/0,1 (,02( -34E ontiene informacin acerca del equipo' su %ardware' los controladores de dispositivos # las opciones de configuracin >tanto de seguridad como del software instaladoC que afectan a todos los usuarios del sistema. ontiene a su ve) las siguientes secciones:

-.,25-ardware 4tdetect.com crea el contenido durante el inicio del sistema' manteniendose dic%a informacin en la memoria R(2. -.,25S(2 "atos utili)ados por el administrador de cuentas de seguridad no accesibles mediante el editor del registro. Se trata de un repositorio de datos de usuarios # grupos' inclu#endo los permisos de acceso para las carpetas' arc%ivos # perifericos. -.,25Securit# Relacionado con los temas de seguridad # que contiene datos que dependen del tipo de red >modo nativo u modo %$bridoC. -.,25Software 1pciones de configuracin relativas al software instalado # del sistema operativo. -.,25S#stem "atos que controlan el proceso de inicio de sesin del sistema operativo' servicios del Iernel' etc.

-.E/09SERS ontiene todos los perfiles de usuario que %an iniciado sesin en alg*n momento en el equipo. ada subclave de perfil se identifica con un 3" de seguridad. -.E/0 9RRE4<0 14&3= ontiene informacin acerca del perfil de %ardware utili)ado por el equipo durante el inicio del sistema. Es un alias de -.,25S#stem5 urrent ontrolSet5-ardware5!rofiles5 urrent. (nlisis del registro de Windows !resentacin de las %erramientas ( lo largo de toda esta seccin vamos a utili)ar de forma intensiva 8 utilidades grficas que nos permitirn abrir e interpretar los fic%eros que componen las diferentes secciones del registro. (mbas son gratuitas # pertenecen a 2i<e . Son las siguientes:

Windows Registr# Recover#? Windows Registr# &ile Jiewer8

? %ttp:FFwww.snapfiles.comFgetFrfv.%tml 8 %ttp:FFwww.mitec.c)Fwrr.%tml

,as dos nos permitirn anali)ar el registro con una interfa) similar a la aplicacin Regedit incluida de serie con todos los sistemas Windows' pero adems' # de forma automati)ada' interpretarn los datos en crudo de determinadas claves para facilitarnos la obtencin de informacin. !ara todos aquellos casos en los que no se defina un procedimiento especial para la interpretacin de la informacin utili)aremos la %erramienta KRegistr# &ile JiewerL. El proceso ser similar en todos los casos # consistir en abrir el fic%ero correspondiente a la seccin concreta del registro que estemos tratando # navegar %asta la clave mencionada para ver la informacin adecuada.

4ota acerca de urrent ontrolSet uando reali)amos un anlisis offline del registro' # concretamente de la seccin contenida en el fic%ero s#stem' observaremos que pueden llegar a eDistir %asta B entradas diferentes con la siguiente nomenclatura: ontrolSetGGD. ,o normal ser encontrarnos *nicamente dos entradas' donde D ser$a sustituido por n*meros enteros consecutivos >? # 8 %abitualmenteC.

"e las dos entradas solo una ser la utili)ada por el sistema operativo para obtener los valores de configuracin para el arranque' es decir' como la entrada urrent ontrolSet. !ara determinar cual de ellas es la utili)ada accederemos a los valores almacenados en -.,25S#stem5Select:

,os valores urrent # "efault se corresponden con el valor en %eDadecimal del ontrolSet utili)ado >? para nuestro ejemploC # el valor de ,ast.nown=ood se corresponder$a con el ontrolSet cargado cuando el sistema no es capa) de iniciarse correctamente # nos aparece la opcin de K3niciar el sistema utili)ando la *ltima configuracin buena conocidaL >8 en nuestro ejemploC.

1bteniendo informacin general del sistema Seccin s#stem ?. 4ombre de mquina: -.,25S#stem5 urrent ontrolSet5 ontrol5 omputer4ame5 omputer4ame

8. &ec%a de *ltimo apagado del sistema: -.,25S#stem5 urrent ontrolSet5 ontrol5Windows5S%utdown<ime !ara interpretar la informacin binaria almacenada en esta entrada utili)aremos la aplicacin "ecode "ate7 tal # como se muestra en la siguiente captura.

7. 3nformacin de la )ona %oraria: -.,25S#stem5 urrent ontrolSet5 ontrol5<imeEone3nformation5(ctive<imeBias Jalor indicado en minutos que contiene la configuracin de la )ona %oraria del sistema. !odremos utili)ar dic%o valor para normali)ar los registros de tiempo obtenidos de otras fuentes en formato 9< F=2<. B. Servicios instalados en el sistema -.,25S#stem5 urrent ontrolSet5Services Si el valor de la entrada Start est establecido a GDGGGGGG8 el servicio se iniciar de forma automtica con el arranque del sistema. !ara obtener el listado de forma sencilla utili)aremos la aplicacin KWindows Registr# Recover#L. (briremos el fic%ero s#stem contenido en la imagen del sistema # pulsaremos sobre el botn KServices and "riversL del apartado KEDplorer <asIsL. M. onfiguracin < !F3!: -.,25S#stem5 urrent ontrolSet5Services5<cpip5!arameters53nterfaces !ara obtener los datos de forma sencilla utili)aremos la aplicacin KWindows Registr# Recover#L. (briremos el fic%ero s#stem contenido en la imagen del sistema # pulsaremos sobre el botn K4etworI onfigurationL del apartado KEDplorer <asIsL. Seccin software ?. "ueNo del software: -.,25Software52icrosoft5Windows 4<5 urrentJersion5Registered1wner 8. 1rgani)acin: -.,25Software52icrosoft5Windows 4<5 urrentJersion5Registered1rgani)ation 7. Sistema operativo: -.,25Software52icrosoft5Windows 4<5 urrentJersion5!roduct4ame
7 %ttp:FFwww.digitalOdetective.co.uIFfreetoolsFdecode.asp

B. Jersion: -.,25Software52icrosoft5Windows 4<5 urrentJersion5 urrentBuild4umber M. Service !acI instalado: -.,25Software52icrosoft5Windows 4<5 urrentJersion5 S"Jersion @. &ec%a de instalacin del sistema: -.,25Software52icrosoft5Windows 4<5 urrentJersion53nstall"ate P. 3" de producto: -.,25Software52icrosoft5Windows 4<5 urrentJersion5!roduct3d Q. Software instalado en el sistema: -.,25Software R. !arc%es instalados en el sistema: -.,25Software52icrosoft59pdates5Windows Server 8GG75S!8 !ara obtener de forma simple todos los datos anteriores utili)aremos la aplicacin KWindows Registr# Recover#L. (briremos el fic%ero software contenido en la imagen del sistema # pulsaremos sobre el botn KWindows 3nstallationL del apartado KEDplorer <asIsL. omo resultado obtendremos toda la informacin anterior de forma visual en las pestaNas K=eneralL' K3nstalled SoftwareL # K-ot &iDesL. ,istando aplicaciones que se inician de forma automtica ,as siguientes son las ubicaciones ms comunes para la instalacin de virus' tro#anos # dems tipos de malware. !ara ms informacin consultar el documento Registr# Reference >nota al pi+ con el enlaceC de -arlan arve#. -.,25Software52icrosoft5Windows5 -.,25Software52icrosoft5Windows5 -.,25Software52icrosoft5Windows5 -.,25Software52icrosoft5Windows5 "ispositivos 9SB eDtraibles (l conectar un dispositivo 9SB al sistema >p.e. un pendriveC se almacena en el registro su %uella digital. uando el administrador !lugOandO!la# carga el driver adecuado >registrado en el fic%ero setupapi.logC # el dispositivo %a sido identificado se genera una entrada conocida como K"evice lass 3"L en: -.,25S#stem5 urrent ontrolSet5Enum59SBS<1R con un formato similar al siguiente: "isISJen0DDDS!rod0DDDSRev0DDD donde DDD ser$a rellenado por !n! en funcin de las caracter$sticas del dispositivo. urrentJersion5Run urrentJersion5Run1nce urrentJersion5Run1nceED urrentJersion5EDplorer5S%ared<asISc%eduler

9na ve) creado el K"evice lass 3"L se agregar una entrada un$voca' K9nique 3nstance 3"L' para cada dispositivo similar basndose en el valor iSerial4umber integrado en el propio %ardware.

En el caso de que el dispositivo no inclu#a un valor de iSerial4umber este le ser asignado de forma automtica por Windows de forma que sea *nico. 9n valor interesante que podemos encontrar dentro de cada entrada K9nique 3nstance 3"L ser$a el de K!arent3d!refiD' el cual nos permitir determinar la fec%a en que se conect por *ltima ve) el dispositivo 9SB concreto al sistema. !ara correlacionar dic%o valor desplegaremos la clave: -.,25S#stem5 urrent ontrolSet5 ontrol5"evice lasses En su interior apreciaremos la eDistencia de las siguientes subclaves: TM7fM@7GPOb@bfO??dGORBf8OGGaGcR?efbQbU V =93" del interfa) de disco ontenida en ella encontraremos entradas para cada dispositivo conectado. !ara identificarlo usaremos el valor de K9nique 3nstance 3"L asociado a cada dispositivo e indicado entre par+ntesis.

TM7fM@7GdOb@bfO??dGORBf8OGGaGcR?efbQbU V =93" del interfa) de volumen ontenida en ella encontraremos entradas para cada dispositivo conectado. !ara identificarlo usaremos el valor de K!arent3d!refiDL asociado a cada dispositivo.

,a fec%a de *ltima modificacin para las entradas correspondientes a cada dispositivo nos permitirn obtener la fec%a de la *ltima ocasin en que el dispositivo 9SB fu+ conectado al sistema. !ara obtener el valor de fec%a ejecutaremos la %erramienta KWindows Registr# Recover#L # abriremos el fic%ero s#stem contenido en la imagen del sistema. 9na ve) abierto pulsaremos el botn KRaw "ataL del apartado KEDplorer <asIsL # navegaremos %asta la clave adecuada. 9na ve) seleccionada pulsaremos con el botn derec%o del ratn V K!roperties...L.

"ispositivos 3"E conectados al sistema ,a clave del registro -.,25s#stem5 urrent ontrolSet5Enum53"E contiene a su ve) diferentes subclaves que se corresponden con los dispositivos 3"E que eDisten en el sistema anali)ado' cada una con su K9nique 3nstance 3"L correspondiente.

( su ve) cada subclave tiene asociada una entrada de nombre 934umber cu#o valor' si es distinto de G' nos permitir saber si el sistema Windows se instal en una mquina junto con otros sistemas operativos.

"ispositivos montados en el sistema ,a informacin relativa a los diferentes dispositivos # vol*menes montados en el sistema de

fic%eros 4<&S podremos encontrarla en la siguiente clave del registro: -.,25s#stem52ounted"evices

ada una de las entradas incluidas en esta clave # con formato 5"os"evices5H: se corresponder con un dispositivo instalado en el sistema # deberemos sustituir H: por el nombre de la unidad que utili)a el sistema para acceder a +l. 9nidades de disco # particiones (quellas entradas cu#os datos ocupen *nicamente ?8 b#tes >7 "W1R"SC se correspondern con dispositivos o unidades de disco:

El primer "W1R" >7G "8 QG BBC se corresponde con la firma digital del disco duro' por lo que si encontraramos otra entrada cu#o primer "W1R" fuera similar se tratar$a de una nueva particin del mismo disco duro. El segundo # tercer "W1R" >GG PE GG GG GG GG GG GGC se corresponden con el offset en que comien)a la particin. En nuestro caso GDPEGG ser$a igual a 78.8M@ en decimal. Sabiendo que cada sector tiene un tamaNo de M?8 b#tes la particin : comen)ar$a en el sector @7.

1tros dispositivos Si anali)amos los valores para las entradas 5"os"evices5(: # 5"os"evices5": obtendremos informacin sobre el tipo de dispositivos de que se tratan.

"ispositivos 9SB eDtraibles 9tili)ando el !arent3d!refiD asignado a cada dispositivo 9SB en la clave 9SBS<1R podemos identificar el dispositivo concreto que se conect por *ltima ve) al sistema. !ara ello anali)aremos el valor RE=0B34(R/ correspondiente a la entrada 5"os"evice5E: de nuestro ejemplo.

1bteniendo informacin de los usuarios # grupos del sistema 9suarios ,a informacin relativa a los diferentes usuarios que eDisten en el sistema Windows podemos %allarla en la siguiente clave del registro: -.,25S(25"omains5(ccount59sers (ll$ podremos encontrar diversas subclaves cu#o nombre consiste en un valor %eDadecimal que' trasladado a su correspondiente valor en decimal' identifica el R3" >enlace al documento de las contraseNas en windowsC de los diferentes usuarios del sistema.

!ara nuestro ejemplo el valor ?&B %eDadecimal se corresponder$a con el MGG en decimal >usuario (dministradorC' el valor ?&M %eD ser$a igual al MG? dec >usuario 3nvitadoC' etc. ,a entrada de nombre & que eDiste en la clave correspondiente al R3" del usuario contiene la siguiente informacin:

,a fec%a de *ltimo inicio de sesin. ,a fec%a en que se cambi la contraseNa por *ltima ve) o la fec%a de creacin para la cuenta si la contraseNa no %a sido cambiada o reseteada desde entonces. ,a fec%a de eDpiracin para la cuenta. ,a fec%a del *ltimo inicio de sesin fallido.

!or otra parte' la entrada de nombre J nos proporcionar$a los siguientes datos relativos a la cuenta de usuario:

4ombre completo del usuario al que pertenece la cuenta. omentario. Ruta del script de logon. -as%es de la contraseNa.

!ara obtener de forma simple todos los datos anteriores utili)aremos la aplicacin KWindows Registr# Recover#L. (briremos el fic%ero S(2 contenido en la imagen del sistema # pulsaremos sobre el botn KS(2L del apartado KEDplorer <asIsL. omo resultado obtendremos toda la informacin anterior de forma visual en las pestaNas K=eneralL # K=roups and 9sersL. El *nico dato que no nos mostrar el proceso anterior sern los %as%es de las contraseNas de los usuarios. !ara obtener dic%os valores utili)aremos la informacin complementaria obtenida mediante la aplicacin KRegistr# &ile JiewerL. (briremos el fic%ero S(2 con dic%a aplicacin # en este caso accederemos al men* K<oolsL V KSp# S (nal#)eL V KS(2L. Se generar un panel inferior de Resultados donde obtendremos para cada entrada correspondiente a los diferentes usuarios los %as%es de las contraseNas almacenadas en el registro' adems de la ma#or parte de informacin mostrada de forma grfica en la aplicacin KWindows Registr# Recover#L. =rupos ,a informacin relativa a los diferentes grupos preincorporados que eDisten en el sistema Windows podremos %allarla en la siguiente clave del registro: -.,25S(25"omains5Builtin5(liases

!or otra parte' la informacin relativa a los nuevos grupos creados en el sistema Windows la encontraremos en: -.,25S(25"omains5(ccount5(liases

En ambos casos' # al igual que suced$a para las cuentas de usuarios' dentro de ambas claves encontraremos diferentes subclaves cu#o nombre consiste en un valor %eDadecimal que' trasladado a su correspondiente valor en decimal' identifica el R3" >enlace al documento de las contraseNas en windowsC de los diferentes grupos del sistema. ,a entrada de nombre que eDiste en la clave correspondiente al R3" del grupo contiene la siguiente informacin:

4ombre del grupo "escripcin ,ista de usuarios que pertenecen a dic%o grupo

!ara obtener de forma simple la lista de todos los grupos definidos en el sistema utili)aremos la aplicacin KWindows Registr# Recover#L. (briremos el fic%ero S(2 contenido en la imagen del sistema # pulsaremos sobre el botn KS(2L del apartado KEDplorer <asIsL' %allando la informacun deseada en la pestaNa K=roups and 9sersL. El proceso de obtencin de la lista de usuarios pertenecientes a cada grupo resultar algo ms KtrabajosoL' pero no imposible' gracias al trabajo de (ndreas Sc%uster >incluir al pie enlace al documento de su blogC. En primer lugar instalaremos el editor %eDadecimal G?GB' una %erramienta comercial pero que ser totalmente funcional durante un periodo de prueba de 7G d$as. 9na ve) instalado descargaremos las plantillas para dic%o editor creadas por (ndreas Sc%usterM' las cuales eDtraeremos en la carpeta K<emplatesL del directorio de instalacin de G?G > :5(rc%ivos de programa5G?GEditor' por defectoC. ( continuacin utili)aremos la aplicacin KRegistr# &ile JiewerL para abrir el fic%ero S(2 contenido en la imagen del sistema. 9na ve) abierto nos despla)aremos %asta la siguiente clave: S(25 "omains5Builtin5(liases5GGGGG88G -aciendo doble clicI con el ratn sobre la entrada accederemos a la ventana de vista de datos donde deberemos pulsar sobre el botn KSave data...L # elegir un nombre # una ubicacin para el fic%ero conteniendo el volcado %eDadecimal con los datos correspondientes a dic%a entrada. Seguidamente abriremos el fic%ero anterior con el editor G?G # seleccionaremos el men* K<emplatesL V K1pen <emplate...L. Elegiremos la plantilla KS(20=roup0c.btL # pulsaremos el botn (brir. "esplegaremos nuevamente el men* K<emplatesL seleccionando la opcin KRun <emplateL. omo resultado obtendremos un nuevo panel con la informacin que buscbamos .

B %ttp:FFwww.sweetscape.comFG?GeditorF M %ttp:FFcomputer.forensiIblog.deFfilesFG?G0templatesFS(20=roup0c.)ip

"eberemos repetir el proceso para cada uno de los grupos definidos en el sistema # del que deseemos obtener la lista de usuarios que lo componen. 3nformacin sobre la actividad de los usuarios: 9ser(ssist ,a clave 9ser(ssit contiene valiosa informacin que nos a#udar a desvelar gran parte de las acciones reali)adas por un usuario en el sistema. "ic%a clave es particular para cada cuenta por lo que para encontrar la informacin all$ almacenada deberemos abrir el fic%ero 4<9SER."(< de cada usuario en particular # navegar %asta la siguiente ubicacin: Software52icrosoft5Windows5 urrentJersion5EDplorer59ser(ssist En su interior encontraremos dos subclaves ount diferentes contenidas cada una de ellas a su ve) en dos valores num+ricos para diferentes =93":

TME@(BPQGOPPB7O?? &O(?8BOGG((GGB(EQ7PU (punta a la barra de %erramientas de 3nternet EDplorer >3nternet <oolbarC' locali)ada en 6S#stemRoot65s#stem785browseui.dll TPMGBQPGGOE&?&O??"GORQQQOGG@GRP"E( &R U (punta a (ctive "esItop' ubicado en 6S#stemRoot65s#stem785S-E,,78.",,

"entro de cada una de las subclaves encontraremos muc%as entradas' todas ellas cifradas utili)ando el algoritmo RotO?7. (l descifrar los nombres de cada uno de los valores encontraremos etiquetas como las siguientes:

9E2E0R94!(<Ruta absoluta a un ejecutable del sistemas lan)ado mediante el EDplorador de Windows o a trav+s del men* 3nicio V Ejecutar.

9E2E0R94 !, 3mplica la ejecucin de uno de los applets contenidos en el !anel de ontrol. 9E2E0R94!3", orrespondiente a un !3", o puntero a un elemento de una lista de 3ds' # que se utili)a como referencia a un objeto' %abitualmente un fic%ero .lnI lan)ado a trav+s del men* 3nicio V "ocumentos.

,a fec%a asociada a cada entrada nos indicar$a la fec%a de *ltimo acceso al ejecutable' applet del !anel de ontrol o acceso directo referenciado. !ara obtener de forma simple los datos asociados a estas entradas vamos a utili)ar en primer lugar la aplicacin KWindows Registr# Recover#L para eDportar el contenido en formato RE=E"3<B # en segundo lugar la aplicacin 9ser(ssist >enlace a la aplicacinC desarrollada por "idier Stevens. !ara que esta *ltima funcione ser preciso tener instalado el runtime .4E< &rameworI 8.G de 2icrosoft >enlace a la aplicacinC. omen)aremos abriendo el fic%ero 4<9SER."(< del usuario (dministrador contenido en el directorio "ocuments and Settings5(dministrator de la imagen del sistema comprometido. 9na ve) %ec%o esto pulsaremos sobre el botn KRaw "ataL del apartado KEDplorer <asIsL # accederemos a la clave 9ser(ssist. 9na ve) all$ desplegaremos el men* K&ileL seleccionando la opcin KEDport to RE=E"3<B format...L. omo resultado obtendremos una nueva ventana la cual dejaremos como sigue:

( continuacin pulsaremos sobre el botn K1.L # guardaremos el fic%ero. 4avegaremos %asta el fic%ero reci+n generado # seleccionndolo %aremos clicI sobre el con el botn derec%o del ratn V KEditarL. 9na ve) abierto >por defecto utili)ar la aplicacin 4otepadC desplegaremos el men* KEdicinL V KReempla)ar...L. En el cuadro de dilogo incluiremos los siguientes datos' pulsando seguidamente sobre el botn KReempla)ar todoL:

( continuacin completaremos nuevamente el cuadro de dilogo inclu#endo en esta ocasin los siguientes datos tras lo que deberemos pulsar nuevamente el botn KReempla)ar todoL:

uando terminemos con las sustituciones anteriores cerraremos el cuadro de dilogo # la aplicacin 4otepad guardando el fic%ero cuando se nos solicite confirmacin. (%ora abriremos la aplicacin 9ser(ssist@ # mediante el men* K ommandsL V K,oad from RE= fileL seleccionaremos el fic%ero obtenido en el paso anterior # obteniendo como resultado los datos almacenados en la clave 9ser(ssist del usuario (dministrator.

1bvia decir que deberemos repetir el proceso para cada uno de los usuarios que %a#an iniciado alguna ve) sesin en el sistema' es decir' aquellos que dispongan de una carpeta con su perfil en el directorio "ocuments and Settings de la imagen del sistema comprometido. Si %acemos clicI con el botn derec%o del ratn sobre cualquier de las entradas mostradas por el programa # seleccionamos la opcin KEDplainL obtendremos informacin ampliada.

@ %ttp:FFblog.didierstevens.comFprogramsFuserassistF

3nformacin sobre la actividad de los usuarios: listas 2R9 ,as listas 2R9 >2ost Recentl# 9sedC contienen entradas para un determinado n*mero de fic%eros accedidos por el usuario # organi)adas por orden cronolgico inverso' es decir' el primero de la lista coincidir con el *ltimo fic%ero abierto. Esta lista de fic%eros aparecer$a %abitualmente al desplegar el men* (rc%ivo de la ma#or$a de aplicaciones que pueden ejecutarse en Windows. "ado que dic%as listas sern diferentes en funcin del usuario deberemos utili)ar la porcin del registro almacenada en el fic%ero 4<9SER."(< para cada cuenta en particular. 5Software52icrosoft5Windows5 urrentJersion5EDplorer5Recent"ocs (lmacena la lista de fic%eros que podremos encontrar en el men* 3nicio V "ocumentos. En esta clave podremos encontrar diferentes subclaves cu#o nombre coincidir con una eDtensin por cada tipo de fic%ero abierto.

<ambi+n encontraremos las siguientes entradas:

Jalores cu#o nombre es un n*mero # que se correspondern con los diferentes fic%eros abiertos. ,a informacin est almacenada en forma de cadenas de teDto con formato 943 1"E.

2R9,istED 3ndica el orden en que fueron abiertos los fic%eros anteriores' codificados como "W1R"S # apareciendo el primero de ellos el *ltimo fic%ero abierto.

5Software52icrosoft5Windows5 urrentJersion5EDplorer5Run2R9 ontiene todos los valores ejecutados mediante el men* 3nicio V Ejecutar. ,os valores aparecen especificados como teDto en claro' # el nombre del valor es indicado mediante una letra del abecedario. !ara saber el orden inverso >el primero ser el *ltimoC en que dic%os comandos fueron ejecutados deberemos anali)ar el valor de la entrada 2R9,ist.

5Software52icrosoft53nternet EDplorer5<#ped9R,s ontiene la lista de las pginas visitadas por el usuario mediante la introduccin manual de la 9R, en la barra "ireccin del navegador 3nternet EDplorer. Esta informacin puede combinarse con la almacenada en la cac%+ para diferenciar las pginas visitadas mediante un enlace de aquellas indicadas eDpl$citamente.

5Software52icrosoft5Windows5 urrentJersion5EDplorer5 om"lg7851penSave2R9 ontiene la lista de los fic%eros abiertos mediante ventanas de dilogo K(brirL # K=uardar comoL. ,os valores aparecen especificados como teDto en claro agrupados en diferentes subclaves cu#o nombre coincide con la eDtensin del fic%ero abierto. ,a subclave ms interesante ser$a la que aparece nombrada con un asterisco >WC dado que contiene el total de la lista. "entro de ella el nombre del valor es indicado mediante una letra del abecedario. !ara saber el orden inverso >el primero ser el *ltimoC en que dic%os fic%eros fueron abiertos o guardados deberemos anali)ar el valor de la entrada 2R9,ist.

5Software52icrosoft5Windows5 urrentJersion5EDplorer5Stream2R9 2antiene una lista con los nombres de las ventanas para las diferentes aplicaciones que fueron ejecutadas por el usuario. <ambi+n encontraremos las siguientes entradas:

Jalores cu#o nombre es un n*mero # que se correspondern con los nombres que aparecieron en las ventanas abiertas. ,a informacin est almacenada en forma de cadenas de teDto con formato 943 1"E. 2R9,istED 3ndica el orden en que fueron abiertas las ventanas' codificadas como "W1R"S # apareciendo la primera de ellas la *ltima de la lista de ventanas abiertas.

5Software52icrosoft52edia !la#er5!la#er5Recent9R,,ist 2antiene una lista con los nombres # la ruta absoluta de los fic%eros abiertos por el usuario utili)ando para ello la aplicacin Windows 2edia !la#er.

5Software52icrosoft5Searc% (ssistant5( 2ru uando el usuario accede al asistente de b*squeda de Windows >men* 3nicio V BuscarC los t+rminos empleados en las opciones de b*squeda se almacenan en la clave anterior. Esta clave a su ve) contiene' %abitualmente' una combinacin de cuatro subclaves:

MGG? ,ista 2R9 del contenido del cuadro de teDto que aparece en el dilogo KBuscar en 3nternetL. M@G7 ,ista 2R9 del contenido del cuadro de teDto K<odo o parte del nombre de arc%ivoL que aparece en el dilogo de b*squeda de K(rc%ivos o carpetasL. M@GB ,ista 2R9 del contenido del cuadro de teDto K9na palabra o frase en el arc%ivoL que aparece en el dilogo de b*squeda de K(rc%ivos o carpetasL

M@BP ,ista 2R9 del contenido del cuadro de teDto que aparece en el dilogo de b*squeda de KEquipos o personasL.