[ad_1]
Uma dica útil foi compartilhada online esta semana que mostra como você pode usar o PowerShell para monitorar as alterações no Registro do Windows ao longo do tempo.
À medida que atualizações do Windows, instalações de aplicativos, alterações de configuração e malware fazem alterações constantemente no registro do Windows, esse modo permite detectar rapidamente o que foi alterado, permitindo diagnosticar problemas, remover entradas maliciosas e ver quais configurações foram alteradas. mudado.
Esta semana, a popular conta de segurança e tecnologia no Twitter SwiftOnSecuritytwittou que adoraria ver um modo de Editor de Registro do Windows que mostrasse todas as entradas de registro que não foram criadas por padrão.
Em resposta ao tweet de Swift, o principal arquiteto de segurança da Microsoft no Azure Security, Lee Holmes, twittou um exemplo de como você poderia fazer algo semelhante no PowerShell.
O exemplo de Holmes mostra como você pode usar o PowerShell para listar todas as chaves existentes do Registro do Windows e armazená-las em uma variável de instantâneo $. Em seguida, posteriormente, ele cria um instantâneo das chaves de registro atuais e as armazena na variável atual $.
O exemplo compara o conteúdo dessas variáveis para determinar quais chaves de registro foram adicionadas desde que o primeiro instantâneo foi obtido.
Embora isso não seja exatamente o que o Swift estava procurando, ele nos aponta na direção certa sobre como você pode monitorar as alterações do Registro começando com uma nova instalação do Windows ou pelo menos um momento em sua instalação existente do Windows.
Além disso, como o exemplo de Holmes usa variáveis que serão excluídas quando um dispositivo for reinicializado, é melhor armazenar instantâneos de registro em arquivos para comparação posterior, que descrevemos como fazer a seguir.
Comparação de instantâneos do registro usando o PowerShell
Usando o exemplo de Holmes, o BleepingComputer brincou com outras maneiras de salvar instantâneos do Registro do Windows e descobriu que modificar o exemplo de Holmes para salvar instantâneos em um arquivo oferece mais versatilidade.
Usando arquivos, você pode criar instantâneos em vários momentos para comparar com instantâneos posteriores. Com arquivos, você também pode compará-los com instantâneos do Registro criados em outros dispositivos.
Para começar, você precisa criar um instantâneo básico das chaves de registro HKLM e HKCU atuais que você comparará com instantâneos futuros. Idealmente, mas não obrigatório, você geraria esses instantâneos básicos logo após a instalação do Windows.
Para criar os instantâneos básicos do registro do Windows, você deve executar os seguintes comandos do PowerShell em um prompt do Windows PowerShell (administrador) para garantir que possa acessar todas as chaves do registro:
dir -rec -erroraction ignore HKLM: | % name > Base-HKLM.txt
dir -rec -erroraction ignore HKCU: | % name > Base-HKCU.txt
Esses comandos criarão os arquivos de instantâneo Base-HKLM.txt e Base-HKCU.txt na pasta atual.
Nos testes do BleepingComputer em versões recém-instaladas do Windows 11 e do Windows 10, esses instantâneos têm os seguintes tamanhos:
Instantâneos do registro do Windows 11:
| HKEY_LOCAL_MACHINE (HKLM): | 82 MB |
| HKEY_CURRENT_USER (HKCU): | 2,4 MB |
Instantâneos do registro do Windows 10:
| HKEY_LOCAL_MACHINE (HKLM): | 81 MB |
| HKEY_CURRENT_USER (HKCU): | 1,45 MB |
Depois de criar seus instantâneos básicos, agora você pode instalar programas ou usar seu computador normalmente.
Depois de um tempo, se você quiser comparar o registro atual do Windows com seus instantâneos básicos, poderá criar novos instantâneos usando estes comandos em um prompt do administrador do PowerShell:
dir -rec -erroraction ignore HKLM: | % name > Current-HKLM-$(get-date -f yyyy-MM-dd).txt
dir -rec -erroraction ignore HKCU: | % name > Current-HKCU-$(get-date -f yyyy-MM-dd).txt
Nota: Os comandos acima irão inserir a data nos nomes de arquivo do instantâneo atual para que você possa determinar quando o instantâneo foi criado.
Agora que você criou os instantâneos base e os instantâneos atuais, você pode compará-los com o seguinte comando do PowerShell:
Compare-Object (Get-Content -Path .Base-HKCU.txt) (Get-Content -Path .[current_snapshot_file_name])O comando Compare-Object irá comparar o snapshot base com o snapshot atual e mostrar o que mudou, como você pode ver abaixo. A coluna SideIndicator indica qual arquivo contém a alteração.
Fonte: BleepingComputer
Deve-se notar que este método apenas compara as chaves do Registro do Windows e não compara seus valores, que são comumente modificados pelas configurações do Windows e malware.
Exportar valores também aumentaria drasticamente o tamanho de seus snapshots e exigiria um script mais complicado para compará-los corretamente. Por exemplo, o instantâneo básico do HKCU com valores de registro em uma nova instalação do Windows 10 aumenta de 1,45 MB para 11,6 MB, uma alteração de 8 vezes.
No entanto, comparar as chaves do Registro ainda é uma ferramenta útil que os administradores podem automatizar para solucionar melhor os problemas nos dispositivos que gerenciam.
[ad_2]
