Análisis de malware

Entendiendo el Registro de Windows

21 de abril de por Kurt Ellzey

Introducción

Digamos que un usuario acaba de terminar de instalar un software recomendado. No estaban realmente familiarizados con la fuente, pero los beneficios potenciales serían excelentes. Inmediatamente después de la instalación, no pueden hacer clic derecho en ninguna parte, la barra de tareas desaparece y hay un fondo de pantalla bastante grande PÁGUENOS O SI NO, pegado permanentemente en su escritorio.

Ejecutan las aplicaciones antivirus/malware estándar proporcionadas por la empresa, que solucionan algunos de los problemas. Pero ciertas configuraciones, como el fondo de pantalla, todavía están bloqueadas. Necesitan su ayuda para terminar de limpiar el sistema. ¿Qué vas a hacer?

Registro de Windows

El Registro de Windows almacena una cantidad ridícula de configuraciones de programas y personalización, claves de licencia, políticas, reglas y la lista sigue y sigue. Básicamente, si se trata de una configuración que debe conservarse a largo plazo, la mayoría de las veces se mantendrá en el Registro.

Para acceder al Registro, simplemente debes ejecutar una utilidad llamada regedit . Este mismo ejecutable funciona en todas las versiones de Windows, aunque la capacidad de ejecutarlo depende en gran medida de sus permisos locales. Este es uno de los programas clave afectados por el Control de cuentas de usuario (UAC) y por las membresías de su grupo, por lo que si intenta cambiar una configuración específica de un usuario y termina teniendo que ejecutar regedit como un usuario diferente, esto puede causar algunos problemas. problemas leves.

Una vez que estés en Regedit, el registro aparecerá como una estructura de árbol:

Cada uno de estos elementos hace una de dos cosas. O cubre un dominio clave del Registro o actúa como un puntero o agregador de valores que están almacenados en ubicaciones a las que no es tan fácil acceder.

HKEY_CLASSES_ROOT (abreviado a HKCR) Se trata principalmente de aplicaciones que asocian tipos de archivos específicos consigo mismas. Combina valores ubicados en dos áreas distintas: HKEY_CURRENT_USERSoftwareClasses para configuraciones basadas en usuarios y HKEY_LOCAL_MACHINESoftwareClasses para configuraciones basadas en máquinas. Si existe un valor en ambos lugares, la configuración del usuario tiene prioridad.HKEY_CURRENT_USER (abreviado a HKCU) Esto trata con las configuraciones específicas del usuario actualmente conectado, cosas como unidades e impresoras asignadas, configuraciones de personalización y personalizaciones basadas en el usuario para varias aplicaciones. Las configuraciones ubicadas en esta sección muchas veces se almacenan en un archivo llamado “NTUSER.DAT”, ubicado en el directorio del perfil del usuario. De esta manera, si una organización en particular tiene perfiles móviles activos, las preferencias individuales de un usuario pueden seguirlos de una computadora a otra.HKEY_LOCAL_MACHINE (abreviado como HKLM) Esta sección trata sobre las configuraciones específicas de esta computadora en particular: el sistema operativo, el hardware, los controladores y los parámetros de inicio.HKEY_USERS (abreviado a HKU) Esta sección monta otros perfiles de usuario actualmente conectados y puede considerarse una forma de saltar a diferentes secciones de HKCU.HKEY_CURRENT_CONFIG (abreviado a HKCC) Esta sección genera datos sobre el inicio del sistema con respecto al hardware actualmente instalado. Al igual que HKCR, esta sección carga datos de un área diferente, específicamente HKLMSYSTEMCurrentControlSetCurrentControlSetHardware Profiles.

Cuando comienza a profundizar en el Registro, se hace evidente muy rápidamente que saber de antemano adónde va y qué está buscando es extremadamente útil. La función de búsqueda disponible al subir al menú desplegable Editar y seleccionar Buscar ayuda un poco, pero aún puede haber docenas o cientos de coincidencias potenciales cuando busca una palabra en particular.

Hablando de palabras, si observamos varios valores en el Registro, verá que esos valores tienen diferentes tipos asociados.

REG_BINARY Datos binariosREG_DWORD o REG_DWORD_LITTLE_ENDIAN Efectivamente lo mismo en Windows, un número de 32 bits.REG_DWORD_BIG_ENDIAN También un número de 32 bits. Sin embargo, este formato es “Big Endian”, que se utiliza ocasionalmente en sistemas tipo UNIX.REG_EXPAND_SZ Una cadena que puede expandirse para almacenar variables ambientales.REG_LINK Una cadena que se utiliza para el destino de un enlace simbólico.REG_MULTI_SZ Un valor de varias cadenas; esto aparecería algo así como AlphaBetaGammaDelta. se utiliza como bandera para finalizar una de las cadenas, y la última actúa como final de todo el valor de varias cadenas.REG_NONE No hay ningún tipo particular asociado con este tipo.REG_QWORD o REG_QWORD_LITTLE_ENDIAN Efectivamente lo mismo en Windows, un número de 64 bits.REG_SZ Una cadena estándar.

Entonces, ¿qué podemos hacer con toda esta información? Comencemos intentando ver dónde nuestro molesto software cambió el fondo de pantalla del escritorio de nuestro usuario.

Primero, naveguemos hasta HKCUControl PanelDesktop. Una vez que haya hecho clic en Escritorio en la vista de árbol, verá aparecer una serie de valores en el lado derecho, cada uno de los cuales trata con varias opciones de personalización para el escritorio del usuario actualmente conectado.

Dependiendo de la versión de Windows que esté utilizando, hay dos ubicaciones para ver el fondo de pantalla en uso. Está TranscodedImageCache, que almacena la ruta al fondo de pantalla en un valor REG_BINARY, o Wallpaper, que almacena la ruta al fondo de pantalla en un valor REG_SZ. Si bien puede obtener la misma información de ambas ubicaciones, el valor del fondo de pantalla es un formato mucho más legible para los humanos.

Todo eso está bien para encontrar un valor que ya existe, pero ¿qué pasaría si quisiéramos cambiar algo o introducir un valor completamente nuevo? Digamos que, por razones de seguridad, queremos impedir que los usuarios agreguen nuevos archivos .PST a Outlook. ¿Cómo haríamos eso?

Office tiene varios valores preestablecidos diferentes que busca al iniciarse. Ciertas opciones, como deshabilitar los PST, no están activas de fábrica por razones obvias. Sin embargo, sí ponen a disposición la documentación de estos cambios en caso de que las organizaciones necesiten utilizarlos.

Primero, asegurémonos de que su copia de Outlook esté cerrada. A continuación, naveguemos hasta HKCUSoftwarePoliciesMicrosoftOffice (busque un número de versión aquí)Outlook.

IMPORTANTE: ANTES DE REALIZAR CUALQUIER CAMBIO EN UNA CLAVE DE REGISTRO, ASEGÚRESE DE HACER UNA COPIA DE SEGURIDAD. Esto se puede hacer haciendo clic derecho en la clave y seleccionando Exportar. Luego se le preguntará dónde desea que se coloque la copia de seguridad y cómo desea que se llame.

Vaya al lado derecho de la pantalla, haga clic derecho en el espacio en blanco y seleccione Nuevo, valor D-WORD de 32 bits. Una vez que aparezca, querrás llamarlo DisablePST. Haga doble clic en este nuevo valor para abrir la pantalla de edición y cambiar los datos del valor de 0 a 1. (0 en este caso significa que los PST no están deshabilitados, mientras que 1 significa que sí lo están).

Una vez que haya ingresado este valor, haga clic en Aceptar para guardar la configuración y ¡listo! Ahora, cuando ese usuario en particular vaya a agregar un .PST a Outlook, no podrá hacerlo.

Conclusión

El Registro de Windows es increíblemente poderoso y una forma muy eficaz de realizar modificaciones en programas y configuraciones que de otro modo no serían posibles. Sin embargo, un aspecto importante a considerar para el futuro es la escala. Realizar cambios individuales en el Registro es excelente para un pequeño número de sistemas y usuarios, pero una vez que comienza a realizar esos mismos cambios a gran escala, necesita encontrar una mejor manera.

Puede abordar esto de manera efectiva implementando una política de grupo. Muchos cambios que puede realizar en el Registro manualmente se pueden realizar mediante opciones de plantilla de política de grupo predeterminadas o simplemente eliminando valores particulares del Registro.

Cualquiera que sea la opción que decida, recuerde que modificar el Registro puede provocar cambios para bien o para mal, así que asegúrese de hacer una copia de seguridad de su registro antes de realizar un cambio.

Fuentes

  1. Encuentre la ruta de la imagen de fondo de pantalla actual en Windows 10 , Winaero
  2. Descripción general del Registro de Windows , Microsoft
  3. Tipos de valores de registro , Microsoft
  4. Cómo utilizar la política de Outlook para controlar el uso y la creación de PST en el servicio de importación de Office 365 , Microsoft