Windows Registry Recovery es una aplicación de la companía MiTeC permite leer los archivos que contienen los de Windows. Esta herramienta es licenciada pero con opción de uso gratis para fines personales, educativos o no comerciales.
Es capaz de leer el registro de las siguientes versiones: Windows 9x,NT,2K,XP,2K3,7,8 y 10. Al momento de redactarse este artículo todavía no se informa en la documentación oficial que soporte la nueva versión 11 del sistema operativo de las ventanas. Esta información puede ser vital para el trabajo del Perito Informático.
Puede utilizarse también para exportar y guardar el registro de Windows de forma segura. El conjunto completo del registro puede ser exportado en formato REGEDIT4. Todos los datos pueden ser guardados en formato .csv. La aplicación está diseñada en una Interfaz de Múltiples Documentos.
Un vistazo al software Windows Registry Recovery
Una vez ejecutamos el .exe para levantar la aplicación, debenos ir a File –> Open, y desde ahí procedemos a abrir el archivo con el backup del registro de Windows que tengamos guardado en la máquina y que queremos examinar.
File Information: Nos va a brindar información básica del archivo. Entre las más importantes podremos ver la última fecha de modificación del mismo y los hashes MD5, SHA1 y SHA256. Con estos datos es suficiente para verificar la trazabilidad del backup del registro que tenemos entre manos.
Security Record Explorer: Muestra todos los registros de seguridad utilizados en el registro. El contador de uso, el SID del propietario, el SID del grupo, la lista de claves afectadas y la lista de SACL y DACL se muestran para cada registro con indicadores y permisos enumerados. Este explorador está disponible solo para subárboles de registro de sistemas basados en NT.
SAM: Vemos el SID y parte del SYSKEY. Se ve el día y fecha del último seteo de contraseña del usuario seleccionado.
Windows Instalation: Vemos información básica de la instalación de Windows. El ID del producto puede ser cotejado enel sitio web de Microsoft para saber si estamos ante un sistema con licenciamiento o en presencia de software trucho. La fecha de instalación puede ser vital en una investigación forense al igual que el nombre de la máquina y el owner.
Hardware: Vemos la información del hardware de la máquina como la CPU, los monitores, tarjetas de video, de audio y de red. Nos muestra la versión del BIOS que tenemos instalado. En Device Map podemos ver todos los controladores de los dispositivos. Podríamos por ejemplo encontrar rastros acá si un pendrive USB o un disco rígido externo fueron conectados a la máquina en algún momento.
Startup Application: Acá se listan todas las aplicaciones que se ejecutan automáticamente ni bien arranca el sistema operativo. Si tenemos un malware que se ejecuta al encender la máquina, muy probablemente lo encontremos acá.
Services and Drivers: Se enumeran todos los servicios y drivers con sus propiedades.
Network Configuration: Se listan los clientes, servicios y protocolos de red instalados. Detalla todas las conexiones de red definidas con configuración TCP/IP.
Windows Firewall Settings: Muestra las reglas de seguridad con las que está seteado el cortafuegos de Windows. Muy útil cuando se está analizando el registro en busca de indicios sobre una brecha de seguridad o el ingreso de un malware.
Environment: Muestra todas las variables de entorno. Esta vista está disponible sólo para la sección SYSTEM del registro del sistema basado en NT.
Shell Folders: Muestra las carpetas de la shell (carpetas conocidas por el sistema). Este explorador está disponible sólo para la sección SYSTEM del registro del sistema basado en NT.
Outlook Express: Busca todas las cuentas de Outlook Express y sus configuraciones. Este explorador está disponible solo para la sección de USUARIO del registro del sistema basado en NT.
Raw Data: En esta vista vemos la información del registro en crudo tal como podemos verla en el Editor del Registro que viene por defecto en Windows.
