Registri e eventi #

Sono entrambi degli artefatti che sono esclusivi a Windows, e in questo capitolo vedremo cosa sono, come utilizzarli e alcune peculiarità.

Registri #

I registri di Windows sono stati introdotti nella versione 3.1, ed è un database interno al sistema e condiviso a tutti i programmi. Gli sviluppatori possono sfruttare questa risorsa per immagazzinare valori statici, sotto forma di “chiavi”. Questa funzione viene usata sia da applicazioni di terze parti, sia applicazioni, programmi e servizi di Windows. Ciò permette di immagazzinare informazioni importanti di servizi e applicazioni in un unico posto.

I registri possono essere visualizzati dalla applicazione integrata a Windows. Per farlo semplicemente richiamare “regedit” dal pannello “run” (Win + R). Altre opzioni possono essere Registry Explorer di Eric Zimmerman, RegScanner, Advanced Regedit e così via.

Eventi #

Gli eventi sono stati pensati per registrare vari tipi di attività. Vengono salvati in file con estensione .evtx. Gli eventi più superficiali li possiamo trovare sul visualizzatore di eventi di Windows, che viene evocato con la keyword “eventvwr” dal pannello “run” (Win + R). Questa applicazione ci permette di esplorare tutti gli eventi salvati nella cartella:

%SystemRoot%\System32\Winevt\Logs\*

.evtx è un formato si usato da servizi di Windows ma, può essere utilizzato anche da applicazioni di terze parti, per tenere traccia di eventi importanti per il loro utilizzo. Noi usiamo questo artefatto per provare la occorenza di un qualche metodo bypass specifico o l’esecuzione di file, etc….