Monday, May 23, 2011

AccessData Registry Viewer

Seguindo a linha de posts sobre o registro do Windows, vou falar desta vez de uma ferramenta capaz de acessar estes arquivos em uma perícia post-mortem: o Registry Viewer. Esta ferramenta é um dos componentes que compõe a suíte do Forensic Toolkit da AccessData e é capaz de acessar e exibir os dados de todos os arquivos que compõe o registro do sistema operacional Microsoft Windows:

  • ntuser.dat
  • sam
  • system
  • software
  • security




O FTK Registry Viewer tem uma interface simples e intuitiva. Quem já trabalhou com o utilitário REGEDIT do Windows se sentirá em casa:


Além da semelhança com o REGEDIT, o sistema trás ainda este painel "Key Properties", onde ele interpreta alguns valores, como no print screen acima, onde o sistema "traduz" os valores hexa F e V nos valores que são exibidos, como user name, description e logon count.

Maiores informações sobre o AccessData Registry Viewer em:

http://accessdata.com/media/en_us/print/papers/wp.Registry_Quick_Find_Chart.en_us.pdf
http://accessdata.com/downloads/media/UserAssist%20Registry%20Key%209-8-08.pdf
http://accessdata.com/downloads/media/Registry%20Quick%20Find%20Chart%20%207-22-08.pdf
http://accessdata.com/downloads/media/Registry%20Offsets%209-8-08.pdf

No comments:

Post a Comment