Registro do Windows - Cheat Sheet by Ooclaar

### Introdução O Registro do Windows é uma base de dados hierárquica que armazena configurações e opções do sistema operacional Microsoft Windows. Ele contém informações, configurações, opções e outros valores para software e hardware instalados. Serve como uma fonte centralizada para a configuração do sistema e dos aplicativos, permitindo que o Windows e os programas acessem as configurações necessárias para sua operação. ### Estrutura do Registro O Registro é organizado em uma estrutura hierárquica, similar a um sistema de arquivos, com "chaves" e "subchaves" que contêm "valores". Esses valores são os dados reais armazenados no Registro, que podem ser de diferentes tipos, como string, binário ou DWORD. ![[Regedit.png]] ### Principais Hives Os hives são arquivos de nível superior no Registro, que contêm uma coleção de chaves, sub-chaves e valores. As principais hives incluem: 1. **HKEY_CLASSES_ROOT (HKCR):** Contém informações sobre registros de classes e associações de arquivos. 2. **HKEY_CURRENT_USER (HKCU):** Armazena as configurações do perfil do usuário atualmente logado. 3. **HKEY_LOCAL_MACHINE (HKLM):** Contém configurações para o hardware e software do computador que são aplicadas a todos os usuários. 4. **HKEY_USERS (HKU):** Armazena as configurações dos perfis de todos os usuários ativos no computador. 5. **HKEY_CURRENT_CONFIG (HKCC):** Contém informações sobre o perfil de configuração de hardware usado atualmente. ### Alguns exemplos importantes 1. **Últimos arquivos abertos:** As chaves do Registro podem revelar quais arquivos foram acessados recentemente por um usuário, como entradas: ```markdown # Chave HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs ``` 2. **Programas iniciados automaticamente:** Informações CurrentVersion\Run podem indicar quais programas são configurados para iniciar automaticamente na inicialização do sistema: ```markdown # Chave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ``` 3. **Montagens de dispositivos USB:** O Registro mantém um histórico de dispositivos USB que foram conectados ao sistema, que pode ser encontrado em: ```markdown # Chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR ``` 4. **Navegação na Internet:** O histórico de navegação pode ser revelado através de chaves ligadas aos navegadores, por exemplo, em: ```markdown # Chave HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs ``` 5. **Nome do Computador**: O nome do computador pode ser alterado por um atacante para dificultar correlação ou confundir o analista durante uma investigação. Alterações súbitas nessa chave podem indicar tentativa de camuflagem. ```markdown # Chave HKLM\SYSTEM\ControlSet00#\Control\ComputerName\ComputerName ``` 6. Serviços do Windows: Serviços maliciosos podem ser criados para obter persistência no sistema. Além disso, serviços legítimos podem ter o modo de inicialização alterado para execução automática na inicialização do sistema. ```markdown # Chaves HKLM\SYSTEM\ControlSet\Services<nome_do_serviço> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\<nome_do_serviço> # Valores - `0 = Boot` - `1 = System` - `2 = Automatic` - `3 = Manual` - `4 = Disabled` ``` 7. Endereço IP via DHCP: Alterações suspeitas no IP obtido via DHCP podem indicar manipulação de rede por parte do atacante, como trocas de rede para exfiltração de dados ou movimentação lateral. ```markdown # Chave HKLM\SYSTEM\ControlSet\Services\Tcpip\Parameters\Interfaces{GUID}\DhcpIPAddress ``` 8. Autoruns (Programas iniciados automaticamente): Programas configurados para iniciar automaticamente são comuns em persistência de malware. Devem ser analisados para identificar entradas desconhecidas ou suspeitas. ```markdown # Chave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run ``` 9. Remote Desktop (RDP): Atacantes podem habilitar ou desabilitar o RDP conforme a necessidade de acesso remoto persistente. Alterações constantes podem indicar manutenção de backdoor. ```markdown # Chave HKLM\SYSTEM\ControlSet\Control\TerminalServer\fDenyTSConnections ``` 10. **Aplicativos Instalados**: Aplicações instaladas podem incluir softwares maliciosos disfarçados de programas legítimos, backdoors, ferramentas de exfiltração ou administração remota. ```markdown # Chaves HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ ``` 11. **Lixeira (Recycle Bin)**: Ao configurar a lixeira para excluir arquivos diretamente, o atacante evita que restos de arquivos deletados fiquem disponíveis para forense. ```markdown # Chave NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\BitBucket\Volume{GUID}\NukeOnDelete ``` 12. **Histórico de URLs no Internet Explorer**: As URLs digitadas manualmente podem indicar interações do atacante com infraestrutura de C2 ou páginas de phishing. ```markdown # Chave NTUSER.DAT\Software\Microsoft\Internet Explorer\TypedURLs ``` 13. **Configurações e Artifacts do Internet Explorer**: Redirecionamentos, alterações de homepage e configurações alteradas pelo atacante podem ser observadas aqui. ```markdown # Chave NTUSER.DAT\Software\Microsoft\Internet Explorer\Main ``` 14. Firewall do Windows: Um atacante pode desativar o firewall para facilitar comunicação externa e movimentação lateral. ```markdown # Chave HKLM\SYSTEM\ControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile\EnableFirewall ``` 15. **Histórico de Redes (NetworkList)**: Pode indicar redes suspeitas ou deslocamentos do sistema investigado. Útil para identificar deslocamentos físicos ou conexões não autorizadas. ```markdown # Chave HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkList\Profiles HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkList\Nla\Cache ``` 16. **Último Usuário Logado**: Indica qual usuário fez o último logon, podendo revelar o uso de contas privilegiadas por parte do atacante. ```markdown # Chave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\LastLoggedOnUser ``` 17. **Montagens de Dispositivos (Mounted Devices)**: Pode revelar conexões recentes de dispositivos removíveis como HDs externos ou pendrives que podem ter sido utilizados para exfiltração. ```markdown # Chave HKLM\SYSTEM\MountedDevices ``` 18. Dispositivos Portáteis e Volume Names: Lista dispositivos como smartphones, câmeras e outros que podem ser utilizados em atividades maliciosas. ```markdown # Chave HKLM\SOFTWARE\Microsoft\Windows Portable Devices\Devices ``` 19. **Dispositivos USB Conectados**: Armazena o histórico de dispositivos USB já conectados, permitindo identificar exfiltração física ou uso de ferramentas de ataque via pendrive. ```markdown # Chave HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR ``` ---