Usando RegMon: Observar la Actividad del Registro de Windows en Tiempo Real
RegMon es una herramienta utilizada en la administración de sistemas, análisis forense y depuración de aplicación (debugging), fue creado por Mark Russinovich, y Bryce Cogswell, empleado por SysInternals antes de ser comprado por microsoft en el 2006.
RegMon supervisa y registra todas las actividades que se llevan acabo en el Registro de Windows. Regmon puede utilizarse para detectar intentos fallidos al intentar leer y escribir claves en el Registro, también puede ser utilizado para examinar las escrituras hechas en el registro por la instalación de malware o código malicioso, esto con el fin de ver su impacto en el sistema. Y de igual manera permite el filtrado de teclas especÃficas, procesos, identificadores de proceso, y valores.
RegMon puede ser descagado desde el sitio web de Sysinternals. Una vez descargado y extraido en el disco duro, solo tenemos que hacer doble clic en regmon.exe para iniciarlo. Automaticamente al ejecutarlo empezara a iniciar la captura actual de cualquier actividad en el registro de windows y lo mostrara en la ventana principal de regmon, como se muestra en la siguiente imagen.
Ventana principal de RegMon.
La mayor parte de la pantalla esta dedicada a mostrar la actividad del registro, las otras dos partes son la barra de menú y la barra de herramientas, en la barra de menú contiene los principales parámetros de configuración y la barra de herramientas contiene botones que nos permiten realizar tareas rápidamente, como por ejemplo guardar la actividad en un archivo, cargar un archivo anteriormente guardado, detener e iniciar procesos de captura y demás. Asà que no tiene nada de ciencia :) es muy sencillo utilizar Regmon.
Por ejemplo para iniciar o detener la captura de la actividad sólo tenemos que hacer clic en la lupa de la barra de herramientas.
Si en algún momento deseamos modificar una entrada del Registro, podemos simplemente hacer doble clic en la entrada, al hacer esto abrirá el Editor del registro (regedit.exe) y nos llevará directamente a la clave correspondiente. Desde ahà podemos ver las claves y los valores asociados.
Tambien para copiar una entrada de la Lista en el portapapeles, solo seleccione la entrada y el tecleamos Ctrl + C para copiar la combinación de lÃneas seleccionadas y asu podemos pegar las lÃneas en otra aplicación que elijamos. Para eliminar las entradas solo selecciónamos la que deseamos eliminar y a continuación pulsamos la tecla Suprimir y listo!!.
Configuración de Filtros
Si haz ejecutado Regmon ya te habrás dado cuenta de la cantidad de actividad que ocurre en el registro, si buscamos alguna entrada en particular nos sera muy difÃcil encontrarla por la cantidad de actividad que ocurre en el equipo, pero aquà entra en juego los filtros. ¿Que significa esto de filtros? esto significa que Regmon nos permite añadir filtros para la salida, de modo que solo nos encuentre la información que necesitamos del alguna actividad especifica.
Para establecer un filtro solo tenemos que ir al menú Options - Filter/Highlight.
Examinando el RegistroSi haz ejecutado Regmon ya te habrás dado cuenta de la cantidad de actividad que ocurre en el registro, si buscamos alguna entrada en particular nos sera muy difÃcil encontrarla por la cantidad de actividad que ocurre en el equipo, pero aquà entra en juego los filtros. ¿Que significa esto de filtros? esto significa que Regmon nos permite añadir filtros para la salida, de modo que solo nos encuentre la información que necesitamos del alguna actividad especifica.
Para establecer un filtro solo tenemos que ir al menú Options - Filter/Highlight.
Interfaz de Filtro de Regmon.
La interfaz contiene una serie de campos de texto y casillas que nos permiten personalizar la forma en que los datos se mostraran. Los campos de texto nos permiten entrar en los diversos procesos o entradas que deseemos incluir o excluir del registro, y las casillas determinan el tipo de actividad que se desea filtrar.
Aunque existe un numero infinito de ejemplo posibles de utilizar Regmon para poder ver dónde y cómo se almacenan los diversos ajustes del nuestro sistema en el Registro, la metodologia es la misma independientemente del ejemplo.
Bueno lo que aremos es ejecutar regmon, empezaremos a capturar los datos, hacer algun cambio, detener la captura de los datos y examinaremos lo que se escribio en el registro, con esta metodologÃa, se puede determinar definitivamente dónde y cómo se almacenan los datos en el Registro.
¿En que lugar del registro se almacena la dirección IP de nuestra interfaz de red?
En este ejemplo se mostrara como se almacena la direccion IP de una interfaz de red en el registro, y para determinar esto, vamos a cambiar la direccion IP a un valor conocido mientras se este ejeutando Regmon y agregaremos la direccion IP conocida al filtro, de esta manera vamos a limitar la informacion que regmon nos mostrara filtrando la direccion IP.
Lo primero que debemos hacer es ejecutar Regmon (regmon.exe) y establecer un filtro, que se encuentra en Optiond - Filter/Highlight, como se muestra en la siguiente imagen.
Configurando un filtro en Regmon, para una nueva direccion IP a la que va cambiar la interfaz de red.
En la imagen anterior se muestra la configuracion de un filtro para la direccion IP 192.168.1.110, esta direccion IP es la valos al que se va cambiar la IP actual. Una vez que hallamos configurado el filtro dando clic en OK, iniciamos la captura de los datos dando clic en la lupa (Capture).
Una vez hecho lo anterior, ahora el siguiente paso es cambiar las propiedades de TCP/IP de nuestra interfaz de red. Para hacer esto damos clic en Inicio - Panel de Control - Conexiones de Red y seleccionamos nuestra interfaz de red, hacemos clic derecho y seleccionamos Propiedades. En los elementos seleccionamos Protocolo de Internet TCP/IP y hacemos clic en Propiedades como se muestra en la siguiente imagen.
Estando en propiedades de protocolo internet (TCP/IP) vamos a cambiar la direccion IP que tenemos 192.168.1.109 por una nueva direccion IP 192.168.1.110 (es la que establecimos en el filtro), como se muestra en la siguiente imagen.
Después de un segundo, la nueva dirección IP (192.168.1.110) se escribe en el Registro y se aplica al sistema, como se muestra en la siguiente imagen.
Filtrado que muestra la salida de tres claves del registro en donde se almacena la direccion IP.
Esta metodologia se puede adaptar y crear una amplia variedad de situaciones en las que nosotros podemos cambiar la configuracion del sistema y monitorear sus resultados con la ayuda de Regmon, de esta manera podemos ver claramente donde y como se almacenan los datos.
Saludos!.
0 comentarios