ESPECIFICACIÓN TÉCNICA:

Registro de Windows:
Guía completa para examinar el Registro de Windows

Junio de 2020
Índice

El Registro 3

Estructura 3

Descripción de sección 4

Más allá de las secciones 4

Fechas y horarios 5

Visualización automática de elementos de registro de BlackLight 5

Inteligencia accionable: 6

Uso del registro en investigaciones 8

Especificación técnica | Registro de Windows: Guía completa para examinar el Registro de Windows
www.cellebrite.com
El Registro

El Registro de Windows es una base de datos jerárquica centralizada que contiene información tanto del
sistema como del usuario y configuración para computadoras con Windows. Esta configuración puede ir
desde el fondo de pantalla del escritorio de un usuario al huso horario de la computadora.

Para algunos, examinar el Registro es una tarea abrumadora que inclusive desespera a los examinadores
más experimentados. No obstante, no tiene por qué ser así. En esta entrada, desmitificaremos lo que
significan las diferentes secciones del Registro. BlackLight analiza automáticamente mucha información
derivada del Registro, por lo que comprender cómo está estructurado el Registro de Windows es importante
para articular correctamente la evidencia presentada.

Estructura

El propio Registro está estructurado en un formato de árbol similar al que se puede esperar al visualizar archivos en
Windows Explorer. Cada entrada del árbol se denomina llave y cada llave puede tener una o más subllaves y valores.

El Registro es una representación lógica de siete archivos físicos contenidos en el volumen de Windows. Cinco de los
siete archivos están relacionados con el sistema:

• Sistema
• Software
• Seguridad Ubicación: C:\Windows\System32\Config
• Sam
• Componentes

Además de dos archivos adicionales para cada cuenta de usuario:

• NTUser.dat Ubicación: C:\Users\%Username%\

• UsrClass.dat Ubicación: C:\Users\%Username%\AppData\Local\Microsoft\Windows

El Registro muestra los datos recopilados de los siete archivos físicos en secciones que generalmente están
precedidas por HKEY (Llave de manejo), y se las denomina individualmente como llaves. Los examinadores pueden
estar acostumbrados a ver HKLM (HKEY_LOCAL_MACHINE) durante sus exámenes.

Estas son las secciones del Registro:

• HKEY_CLASSES_ROOT (HKCR)
• HKEY_CURRENT_USER (HKCU)
• HKEY_LOCAL_MACHINE (HKLM)
• HKEY_USERS (HKU)
• HKEY_CUREENT_CONFIG (HKCC)
• HKEY_USERS
• HKEY_LOCAL_MACHINE

Especificación técnica | Registro de Windows: Guía completa para examinar el Registro de Windows
www.cellebrite.com
Las claves de las secciones almacenan los datos en forma virtual y los datos reales se almacenan en los siete
archivos físicos mencionados anteriormente. De las cinco secciones que se muestran, dos reciben sus datos
directamente de los siete archivos físicos y se las denomina llaves maestras. Las llaves maestras son:

• HKEY_USERS
• HKEY_LOCAL_MACHINE
Las tres secciones restantes vinculan sus datos a llaves que se encuentran en las dos llaves maestras.

Figura 1: Vista de las secciones de registro en BlackLight.

BlackLight simplifica la vista de Registro al mostrar la ubicación exacta en donde se analizan los datos.

Descripción de la sección

HKEY_USERS: Contiene la configuración de usuario para cada usuario que inició sesión en la computadora.

HKEY_LOCAL_MACHINE: Contiene información que pertenece a la configuración de la máquina local y se genera

durante el inicio. Se incluye la configuración de la computadora y las funciones para todos los usuarios del sistema.

HKEY_CLASSES_ROOT: Esta llave monitorea tipos de archivo y aplicaciones relacionadas, como también clases de
registro para objetos COM.

HKEY_CURRENT_USER: Esta llave monitorea la configuración y la información pertenecientes al usuario que inició sesión.

HKEY_CURRENT_CONFIG: Monitorea el perfil de configuración del hardware actual.

Más allá de la sección

¿Qué se encuentra más allá de las secciones? Debajo de las secciones hay llaves y valores.

Llaves: Las llaves mantienen una estructura de carpeta similar a lo que generalmente podemos encontrar al visualizar
el contenido de una unidad de almacenamiento en Windows Explorer.

Valores: Son similares a nombres de archivo al visualizar el contenido de una unidad en Windows Explorer.

Datos: Los datos son similares a los de un archivo cuando se los visualiza en Windows Explorer.

Especificación técnica | Registro de Windows: Guía completa para examinar el Registro de Windows
www.cellebrite.com
Fechas y horarios

Una de las partes más polémicas de la ciencia forense son las fechas y los horarios. Nada cambia en relación
con el Registro.

Las fechas y horarios del Registro de Windows consisten en un “Horario de última escritura”. Básicamente, esta fecha
y horario indican la última modificación de la llave de Registro. Estas fechas y horarios se guardan en EPOCH FILETIME
(el número de 100 nanosegundos desde el 1.° de enero de 1601).

El problema es que no queda necesariamente claro cuándo Windows decide actualizar la llave de Registro, por lo que
todo lo que los examinadores pueden establecer es que la fecha y el horario son aproximados. Por último, puede no
ser evidente y puede que no haya forma de determinar qué valor dentro de una llave se actualizó, en la última acción.
Entonces, como regla general, solo usan como orientación las fechas y horarios de Registro. Comprender la estructura
del Registro es el primer paso del análisis de este importante elemento de Windows. La próxima vez, analizaremos
algunas de las llaves de Registro para comprender cómo herramientas como BlackLight analizan y muestran los datos.

Visualización automática de elementos de registro de Cellebrite Blacklight

Cellebrite BlackLight analiza muchos elementos de Registro y muestra los resultados en diferentes áreas.

Figura 2: BlackLight que muestra datos de Registro analizados automáticamente.

Cellebrite BlackLight muestra información acerca del sistema operativo, incluida la versión de Windows y la
fecha de instalación.

Figure 3: Vista del Registro de Windows que muestra la información analizada por BlackLight.

Especificación técnica | Registro de Windows: Guía completa para examinar el Registro de Windows
www.cellebrite.com
Al observar el Registro en Sistema ➔Registro ➔ Todo, navegue a HKLM ➔ Software ➔ Microsoft ➔ WindowsNT ➔
CurrentVersion. Esta llave de Registro contiene toda la información que muestra BlackLight en esta vista.

Especificaciones

Fecha de instalación 1434109671 es una fecha en EPOCH UNIX

Nombre de producto La versión de Windows instalada en esta computadora (Windows 7 Professional)

Versión de SO Contiene la versión del sistema operativo actual (Paquete de servicios 1)

También podemos observar que Josh está registrado como el propietario de esta licencia de Windows. Obsérvese que este
valor puede estar en blanco. En algunas versiones de Windows, a los usuarios no se les solicita añadir esta información.

Inteligencia accionable:

Varias áreas del Registro se analizan y muestran automáticamente en la vista de Inteligencia Accionable:

Última actualización: De \%USERPROFILE%\NTUSER.dat y monitorea el ejecutable específico utilizado por

una aplicación para abrir archivos documentados en la llave OpenSavePidMRU. HKU\NTUSER.dat\Software\
Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPi dMRU

Figura 4: Vista de registro que muestra las aplicaciones que se ejecutaron por último

Asistente de usuarios: Este elemento monitorea los programas basados en GUI que se ejecutan desde el escritorio e
incluye el horario de última ejecución del programa, las veces que se ejecutó y si se ejecutó desde un enlace (LNK) o un
ejecutable (.exe). En una computadora en caliente, esta información se cifra en ROT-13, que es una forma de ofuscar
los datos. La mayoría de las herramientas de Registro interpretarán estos datos, incluida BlackLight.

En esta llave, se muestran dos GUID que representan la forma en que se ejecutó el programa:

• CEFFF5C…representa el acceso al programa desde un ejecutable

• CEFFF5C…representa el acceso al programa desde un acceso directo o archivo de enlace
Al seleccionar el valor de Conteo, aparecerá otra lista de GUID y nombres de programa. Las GUID representan la
ubicación de UserAssist.

Especificación técnica | Registro de Windows: Guía completa para examinar el Registro de Windows
www.cellebrite.com
Figura 5: Vista de Registro que muestra UserAssist.

Puede encontrar una lista completa de estas ubicaciones aquí:

https://msdn.microsoft.com/en-us/ library/bb882665(v=vs.110).aspx#List%20of%20GUIDs

Conexiones del dispositivo: Hemos analizado esto en un blog anterior,

https:// www.blackbagtech.com/blog/2017/02/14/analyzing-usb-entries-in-windows-7/

Se utilizan varias llaves de Registro para crear una vista completa de los dispositivos conectados.

Elementos recientes de conocimientos de archivos: Esta área de Inteligencia accionable monitorea archivos
y carpetas abiertos y utilizados por un usuario, y deriva de: \%Username%\NTUSER\Software\Microsoft\
Windows\CurrentVersion\Explorer\RecentDocs\

Figura 6: Vista de Registro de documentos recientes.

Esta llave de Registro particular tiene varios valores que representan la extensión de los tipos de archivos abiertos. Por
ejemplo, los documentos de Microsoft Word en el valor .doc. En líneas generales, en esta llave de Registro, el documento
más reciente se enumera en primer lugar y el más antiguo por último.

Podemos ver un ejemplo del Horario de última escritura creado para cada valor de Registro en esta llave. Las fechas
que se muestran en el Horario de última escritura reflejan la fecha y el horario de la última actualización del valor de
Registro. Aunque esto no necesariamente se relaciona con la fecha y el horario en que se abrió el documento más
reciente, se puede usar como aproximación de dicho momento, pero no más que eso.

Uso de la cuenta: Este monitorea la información de la cuenta del usuario que existe en el sistema y viene del
archivo SAM en la siguiente ubicación: HKLM\SAM\SAM\Domains\Account\Users\config\Users

Especificación técnica | Registro de Windows: Guía completa para examinar el Registro de Windows
www.cellebrite.com
Figura 7: Información de la cuenta del usuario desde el Registro.

Entre la información que se encuentra en esta llave de Registro, se incluye el nombre de usuario, la SID de usuario, la
sugerencia de contraseña del usuario, la última fecha de inicio de sesión, la última fecha de cambio de contraseña y la
fecha de inicio de sesión fallido.

Uso del registro en investigaciones

Hemos visto cómo funciona el Registro y qué pueden mostrar las herramientas forenses de manera automática; ahora
bien, ¿cómo podemos utilizar el Registro como ayuda para investigaciones? Los elementos encontrados en el Registro
pueden mostrar que el usuario estuvo utilizando aplicaciones. ¿El usuario tiene experiencia en personalizar la aplicación
con preferencias? ¿O es un usuario principiante que se conforma con que la aplicación funcione?

Claro que, para saber cómo el usuario configuró una aplicación, el examinador debe realizar pruebas. El conocimiento
que obtendrá al realizar una instalación limpia del software en una computadora es invaluable para el proceso de
aprendizaje. Le permite entender de qué manera funciona el software y le permite articular de qué manera los cambios
de un usuario al software se ven reflejados en los muchos elementos que se encuentran en la computadora.

Observemos algunas aplicaciones que se encuentran en esta computadora con Windows.

Al activar una configuración, se cambian los valores presentes dentro del Registro. De la misma forma que un interruptor
de luz, los valores de Registro generalmente se registran en una posición de encendido o apagado.

Si un usuario realiza la descarga y comienza a usar Fotos de iCloud en una computadora con Windows, se le pregunta
si desea usar la Biblioteca de Fotos de iCloud y la Reproducción de Fotos, y si desea poder Compartir Fotos.

Especificación técnica | Registro de Windows: Guía completa para examinar el Registro de Windows
www.cellebrite.com
Figura 8: Configuración de Fotos en Windows 10.

Al hacer clic en la casilla de verificación junto a cada configuración, el usuario activa la configuración. Al activar una
configuración, un usuario puede elegir una ruta en la que el programa pueda acceder a los resultados de la configuración.
Estas elecciones se reflejan dentro del Registro.

Figura 9: Vista de Registro de la configuración de Fotos de iCloud.

Aquí se pueden encontrar algunas configuraciones importantes de Registro.

Activado 1. Este es el clásico interruptor de encendido/apagado, como la mayoría de las configuraciones

encendido = 1, apagado = 0. De esta configuración, sabemos que el usuario ha activado Fotos.

A medida que continuamos, descubrimos que tanto Descargas como Cargas están activadas mostrando las rutas
correspondientes en las que se accederá a las fotos.

Se muestra una ruta para Compartir. Al observar la instantánea de la configuración de Foto de iCloud, si ve
que la configuración está apagada, la ruta debería aparecer atenuada. Es aquí cuando se aplica la prueba. ¿El
usuario activó Compartir? ¿Esta activado de manera predeterminada? ¿Existe un valor que nos indique con
certeza que Compartir está activado?

Nunca asuma que el hecho de que el valor exista implica que una configuración se activó o apagó. Algunas veces, los valores
existen en el Registro porque es el valor predeterminado y reside independientemente del estado de la configuración.

Especificación técnica | Registro de Windows: Guía completa para examinar el Registro de Windows
www.cellebrite.com
En esta instancia, al apagar Compartir, no se aplican cambios en el Registro. Puede que desee investigar si esto solo
implica que una vez estuvo activado realizando una instalación limpia del software.

Estos valores de Registro pueden ofrecer información sobre los hábitos de uso de la computadora del usuario.

Ahora analicemos Shareaza, la aplicación de intercambio. Aquellos que investigan casos de Explotación infantil
probablemente estén familiarizados con programas como Shareaza que lamentablemente se vieron infectados con
material de abuso y explotación.

En este tipo de investigaciones, comprobar que el usuario tiene conocimientos de cómo funcionan las aplicaciones de
intercambio a menudo es clave para garantizar condenas.

En el Registro, se puede encontrar la opción para Cambiar rutas de descarga, tipos de archivo para compartir o, inclusive,
si se ejecutó alguna vez la aplicación o no. Estos tipos de elemento pueden corroborar o negar afirmaciones de la defensa
de que el usuario no sabe cómo funciona la aplicación.

¿Por qué no dejar que las propias acciones del usuario hablen por sí solas? Algunas aplicaciones ocultan datos especiales
dentro del Registro.

Figura 11: Valores de Registro de Shareaza.

Muchas aplicaciones almacenarán los datos ingresados por un usuario dentro del Registro. En la Figura 11, analizamos
palabras clave ingresadas por el usuario. Imagine si este fuera un caso en el que el usuario afirmaba que no tenía
intención de descargar el material de explotación infantil en su computadora. Luego, en el Registro, varias palabras
clave ingresadas por el usuario se correspondían con la distribución de material de explotación infantil.

Una vez más, cabe destacar que nada ocurre por arte de magia. Cómo profesionales forenses, deben dedicar tiempo a
probar, leer y aprender para poder articular en forma correcta lo que ocurre en la computadora.

El Registro es vital para el sistema operativo de Windows. Tenga en cuenta que, a menudo, se encuentran copias de
respaldo del Registro en la computadora. Windows 8 y 10 (y XP) usan Puntos de restauración para realizar copias de
respaldo de la configuración del usuario y las aplicaciones. El Registro también se captura en Instantáneas de volumen
creadas por Windows 7 (8 y 10 también, suponiendo que se haya activado).

Aunque no se los pretendía usar en análisis forense, son una fuente de datos históricos.

Los examinadores nunca deberían evitar el análisis de elementos complejos como el Registro. A través de la investigación
y la educación, podrá sentirse capacitado para realizar un análisis forense exhaustivo.

10

Especificación técnica | Registro de Windows: Guía completa para examinar el Registro de Windows
www.cellebrite.com
OFICINA CORPORATIVA APAC
8045 Leesburg Pike 150 Beach Road
Suite 220 #08-05/08 Gateway West
Viena, VA 22182, EE. UU. Singapur 189720
Tel.: +1 703 828-7854 Tel.: +65 6438 6240
Fax: +1 201 848 9982 Fax: +65 6 438 6280

ISRAEL AUSTRALIA
94 Derech Shlomo Schmeltzer St Level 9, 2 Phillip Law Street
Kiryat Aryeh, Petah Tikva PO Box 3925, Israel Canberra ACT 2601
Tel.: +972 3 394 8000 Australia
Fax: +972 3 924 7104 Tel.: +61 2 6243 4841

REINO UNIDO INDIA

First Central 200 Room No. 516, 5th Floor,

2 Lakeside Drive Tower C Green Boulevard
Park Royal B-Block Sector 62 Noida 201309
Londres NW10 7FQ, Reino Unido India
Tel.: +44 20 3949 9521 Tel.: +91 9811144437

ALEMANIA JAPÓN
Herzog-Heinrich-Strasse 20, 100-0005東京都千代田区丸の内3-2-2
80336 Munich, Alemania 丸の内二重橋ビル２F
Tel.: +49 (0) 89 2 15 45 37 18 Level 2, Marunouchi Nijyubashi Building, 3-2-2
Tel.: +49 (0) 89 2 15 45 37 99 Marunouchi, Chiyoda-ku,
Tokio 100-0005 JAPÓN
LATAM Tel.: +91 9811144437

Av. Engenheiro Luiz

Carlos Berrini, 550-12º
Andar Brooklin
04571-000 São Paulo, Brasil
Tel.: +55 11 3216 3800

Acerca de Cellebrite

Cellebrite ha sido el líder global y principal proveedor de soluciones de inteligencia digital integrada para las fuerzas de seguridad
pública, las fuerzas armadas, el gobierno y empresas privadas de todo el mundo durante más de 20 años. Ayudamos a resolver
investigaciones más rápidamente al abordar los desafíos cada vez mayores de un mundo digital en expansión.

Desarrollado en estrecha colaboración con nuestros clientes, nuestro conjunto integrado de software de inteligencia digital, soluciones
y capacitación incluye: acceso a todos los dispositivos, plataformas digitales y aplicaciones, cuándo y dónde los equipos lo necesiten;
gestión y control de todos los datos relevantes en un sistema seguro y de colaboración; y un sólido aprovechamiento para detectar
rápidamente información crítica.

Nuestras soluciones se integran perfectamente con las infraestructuras existentes, lo que permite a las agencias tomar decisiones
de mando de manera más eficiente para proteger mejor a sus comunidades.

Para obtener más información, visite: www.cellebrite.com