incibe_toma_evidencias_analisis_forense

En algunos de los correos se observó que se adjuntaba un fichero con nombre newbos3.exeque correspondía a un malware catalogado como Adware/SystemTool.5.3.4. Registro de WindowsEl registro almacena información de gran interés para un investigador forense (programas quese cargan al iniciar el equipo, perfiles de usuario, configuraciones de acceso a redesinalámbricas, histórico de dispositivos USB conectados al equipo, etc.) por lo que es necesariorealizar una copia del mismo para su posterior análisis.En la siguiente tabla se pueden visualizar las claves de registro junto con la información quecontienen.Tabla 2: Entradas del registro e información que contienen [9].Clave de registro Abreviatura Información que contieneHKEY_CLASSES_ROOTHKEY_CURRENT_USERHKEY_LOCAL_MACHINEHKEY_USERSHKEY_CURRENT_CONFIGHKCRHKCUHKMLHKUHKCCGarantiza que cuando abra unarchivo con el Explorador deWindows se abrirá el programacorrecto.Configuración del usuario que hainiciado sesión.Información de configuraciónespecífica del equipo (para cualquierusuario).Perfiles de usuario cargadosactivamente en el equipo.Información acerca del perfil dehardware que utiliza el equipo localcuando se inicia el sistema.Para exportarlas se deben ejecutar las siguientes instrucciones (Estructura: reg exportClave\Subclave fichero):reg export HKEY_CLASSES_ROOT "HKCR-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"reg export HKEY_CURRENT_USER "HKCU-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"reg export HKEY_LOCAL_MACHINE "HKLM-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"reg export HKEY_USERS "HKU-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"reg export HKEY_CURRENT_CONFIG "HKCC-%date:~6,4%%date:~3,2%%date:~0,2%-%time:~0,2%%time:~3,2%.reg"Toma de evidencias en entornos Windows 35