Analisi forense di registri di sistema di Windows
L’analisi forense di registri di Windows, nota anche come Windows Registry Analysis, è una delle modalità di analisi più importanti in un’indagine informatica in caso di crimini informatici, come ad esempio l’analisi forense di un sistema attaccato da un ransomware.
Cosa contiene il registro di Windows
Il registro di Windows è un database dove vengono registrate tutte le attività del sistema operativo (di tipo Windows ovviamente), tra cui:
- le modifiche apportate al sistema
- le installazioni di software
- le associazioni tra software e tipo di file
- le operazioni eseguite dall’utente
- gli ultimi file aperti
L’acquisizione forense del registro di Windows
Per procedere con l’analisi forense di un registro di Windows, è necessario innanzitutto acquisire una copia forense del registro del sistema in questione.
Nella digital forensics, la copia forense garantisce data certa all’operazione di raccolta e integrità, ossia che i dati non vengano modificati durante il processo di analisi.
Tale acquisizione può avvenire procedendo con l’acquisizione forense dell’intero supporto di memoria in cui è installato il sistema operativo oppure con una copia forense selettiva dei soli file di registro.
Nel secondo caso, ci sono diversi strumenti disponibili per acquisire il registro di sistema, come ad esempio i tool della Exterro quali FTK Imager o Registry Viewer, o X-Ways o Kape.
Una volta acquisito il registro, è possibile utilizzare strumenti di analisi forense come Registry Explorer o RegRipper per analizzare i dati del registro e cercare informazioni specifiche.
L’analisi forense del registro di Windows
Ad esempio, per capire quando è stato installato il sistema operativo Windows, è possibile esaminare alcune chiavi specifiche del registro di sistema.

Una chiave da esaminare è HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Windows
.
Questa chiave di registro contiene informazioni sulla data e l’ora di installazione del sistema operativo, nonché informazioni sull’ultimo utente che ha effettuato l’accesso.
Un’altra chiave importante da esaminare è HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
.
Questa chiave contiene informazioni sul prodotto, tra cui la versione del sistema operativo, il numero di build e la data di installazione.
Inoltre, è possibile esaminare la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install
.
Questa chiave contiene informazioni sugli aggiornamenti di sistema installati e la data in cui sono stati installati.
Un’altra chiave importante è possibile esaminare la chiave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RUN
.
Detta chiave risulta utile per comprendere quali applicativi vengono eseguito al riavvio del sistema, tale chiave è utilizzata molto spesso per creare persistenza su un sistema compromesso.
È importante notare che queste chiavi potrebbero non essere presenti o contenere informazioni incomplete su un sistema compromesso o manipolato, ad esempio a seguito di attacco da parte di un malware.
In ogni caso, è necessario esaminare più fonti di informazioni per avere un quadro completo e attendibile della cronologia del sistema oltre al registro.
Ad esempio, esaminando la cronologia degli eventi di sistema (Event Logs) è possibile ricercare eventi correlati all’installazione del sistema operativo, come ad esempio gli eventi di installazione del sistema operativo o gli eventi di aggiornamento del sistema.
Inoltre, è possibile utilizzare strumenti di analisi forense come ad esempio una timeline per creare una cronologia degli eventi del sistema e identificare la data e l’ora dell’installazione del sistema operativo.
Conclusioni
In generale, l’analisi forense di registri di Windows richiede l’utilizzo di strumenti specializzati e una comprensione approfondita della struttura e del funzionamento del sistema operativo.
Inoltre, è importante notare che i dati del registro possono essere facilmente alterati o eliminati, quindi è importante utilizzare tecniche di acquisizione forense appropriate per garantire la integrità dei dati.