Monitoreo de cambios en el registro y los archivos de Windows: análisis forense del registro y los archivos de Windows.
“fingerprint” registra el estado de un sistema Windows, en términos de archivos y registro. Esas fingerprint pueden compararse para encontrar todos los datos modificados. Los datos pueden reducirse con los archivos de registro de procmon (Process Monitor), para ver qué proceso causó los cambios. Los archivos de registro de procmon pueden ser filtrados para mostrar sólo los eventos de los archivos o entradas de registro cambiados. Esto hace que sea mucho más fácil encontrar la causa de los cambios en el sistema.
Todas las fingerprints se almacenan en csv, formato compatible con Excel, para facilitar el filtrado, la clasificación, etc. También puedes utilizar herramientas de terceros como “Meld”, “FC”, “diff” para comparar las fingerprints.
Puedes utilizar las fingerprints en archivos por lotes para filtrar automáticamente los eventos de tu interés.
Se incluyen la fuente, pero sólo se puede utilizar el archivo fp.exe creado con pyinstaller de Releases
Escenarios de uso
Monitorea honeypots, monitorea cambios en el sistema, encuentra entradas o archivos de registro “ocultos”, como la expiración de las versiones demo, analiza actividades de virus, analiza si tu privacidad fue comprometida. Serás capaz de encontrar cada programa espía, gusano, o hack en tu sistema, a menos que el programa sólo reside en la memoria y no altera nada – pero eso es muy poco probable
Uso
Comprobar la Wiki
fp.exe --version # mostrar la version
fp.exe --help # mostrar la ayuda
fp.exe --help # mostrar la ayuda para un comando específico
Instalación
No se requiere instalación, sólo usa el archivo fp.exe descargado desde Releases
Requisitos
Los siguientes paquetes serán instalados / necesarios (cuando se utilicen archivos .py):
- hacer clic
- python-registry
- pyinstaller (si quiere crear sus propios archivos .exe)
Sesión de Muestra
Hagamos un recorrido con el ejemplo. Supongamos que tenemos un software con “período de prueba” y el software deja de funcionar después del período de prueba.
Después de desinstalar y reinstalar el software, todavía se muestra “Período de prueba finalizado”, por lo que este software no se desinstala por completo, dejando algunos archivos o entradas de registro.
Todos los programas se inician desde la línea de comandos. Utiliza el siguiente comando para mostrar la ayuda con todos los parámetros de la línea de comandos.
fp.exe [command] --help- PASO 1: cree la fingerprint de la unidad c: \ en un sistema limpio:
fp.exe files --fp_dir=c:\ --f_output=c:\fp\fp1.csv fp.exe reg --f_output=c:\fp\reg1.csv- PASO 2: cree una fingerprint después de instalar, ejecutar y desinstalar el software:
fp.exe files --fp_dir=c:\ --f_output=c:\fp\fp2.csv fp.exe reg --f_output=c:\fp\reg2.csv- PASO 3: cree archivos diff. En ese archivo se almacenan todos los cambios entre el estado limpio y desinstalado:
fp.exe files_diff --fp1=c:\fp\fp1.csv --fp2=c:\fp\fp2.csv --f_output=c:\fp\fp1-fp2.csv fp.exe reg_diff --reg1=c:\fp\reg1.csv --reg2=c:\fp\reg2.csv --f_output=c:\fp\reg1-reg2.csv- PASO 4: Reinstalar el software: usa procmon para registrar toda la actividad del sistema y guarda el registro como archivo csv “c: \ fp \ reinstall_procmon.csv”
Próximamente se explicará el filtrado de archivos de registro de Procmon, ya que ahora se encuentra en etapa de refractorización.
Agradecimientos
Inspirado en Regshot, InstallWatch Pro, SpyMe Tools, RegDiff, WhatChanged, RegFromApp, Uninstaller Pro y otros.
Licencia
Este software está licenciado bajo la licencia del MIT
Leer el Archivo de Licencia
fingerprint (este enlace se abre en una nueva ventana) por bitranox (este enlace se abre en una nueva ventana)
Monitoring Registry and File Changes in Windows
