Microsoft PowerShell permite rastrear mudanças no registro do Windows

Esta semana se comparti en lnea un consejo til que muestra cmo puede usar PowerShell para monitorar as cambios no Registro de Windows a longo do tempo.

Como as atualizações do Windows, as instalações de aplicativos, as alterações de configuração e o malware realizam constantemente alterações no registro do Windows, este modo permite detectar rapidamente o que pode ser modificado, permitindo detectar problemas, eliminar entradas maliciosas e ver qu configurações se cambiado.

Esta semana, a popular conta do Twitter de segurança e tecnologia SwiftOnSecurity mostra que os encantados são um modo de Editor do Registro do Windows que mostra a todas as entradas do registro que não foi criado de forma predeterminada.

Ao responder ao software Swift, o arquiteto de segurança principal da Microsoft no Azure Security, Lee Holmes, forneceu um exemplo de cmo podra fazer algo semelhante no PowerShell.

O exemplo de Holmes muestra cmo pode ser usado PowerShell para enumerar todas as chaves do Registro de Windows existentes e almacenarlas em uma variável de instantnea $. Luego, em um momento posterior, cria um instantnea de las claves de registro actuales y las almacena en la variable real $.

Luego, o exemplo compara o conteúdo destas variáveis ​​para determinar qu claves de registro se agregaron desde o primera instantnea.

Se não for precisamente e precisamente quando estiver buscando Swift, não indicará a direção correta sobre como pode monitorar as mudanças no Registro a partir de uma nova instalação do Windows, ou pelo menos um momento em sua instalação do Windows existente.

Adems, dado que o exemplo de Holmes utiliza variáveis ​​que se eliminam ao reiniciar um dispositivo, é o melhor almacenar as instantneas do Registro em arquivos para compararlas ms adelante, lo cual describimos cmo hacer a continuacin.

Comparação de instantneas del Registro com PowerShell

O exemplo de Holmes, BleepingComputer jar com outras formas de salvar instantneas do Registro de Windows e descubri que modificar o ejemplo de Holmes para salvá-lo instantneas em um arquivo usando a maior versatilidade.

Mediante el uso de archivos, puede crear instantneas en varios puntos en el tiempo para compararlas con instantneas posteriores. Com os arquivos, também pode comparar os instantâneos do Registro criados em outros dispositivos.

Para começar, devemos criar uma base instantnea das claves de registro atuais de HKLM e HKCU que compara com futuras instantneas. Idealmente, pero no es necesario, generara estas instantneas base apenas despus de instalar o Windows.

Para criar as instantneas bsicas do Registro do Windows, deve-se executar os seguintes comandos do PowerShell em um indicador do Windows PowerShell (administrador) para garantir que pode acessar todas as claves do registro:

 dir -rec -erroraction ignore HKLM: | % name > Base-HKLM.txt dir -rec -erroraction ignore HKCU: | % name > Base-HKCU.txt

Estes comandos criam os arquivos de instantnea Base-HKLM.txt e Base-HKCU.txt no tapete real.

Nos testes de BleepingComputer nas versões instaladas do Windows 11 e Windows 10, estas instantneas tienen os seguintes tamanhos:

Instantneas do registro do Windows 11:

HKEY_LOCAL_MACHINE (HKLM): 82 MB
HKEY_CURRENT_USER (HKCU): 2,4 MB

Instantneas do registro do Windows 10:

HKEY_LOCAL_MACHINE (HKLM): 81 MB
HKEY_CURRENT_USER (HKCU): 1,45 MB

Uma vez que você tenha criado sua base instantneas, agora você pode instalar os programas ou usar seu computador como de costume.

Despus de un tiempo, se quiser comparar o registro real do Windows com sua base instantneas, pode criar novas instantneas usando estes comandos em um indicador do PowerShell do administrador:

 dir -rec -erroraction ignore HKLM: | % name > Current-HKLM-$(get-date -f yyyy-MM-dd).txt dir -rec -erroraction ignore HKCU: | % name > Current-HKCU-$(get-date -f yyyy-MM-dd).txt

Nota: os comandos anteriores inseriram o fechamento nos nomes de arquivo do instantnea real para que pueda determinar cundo se cria o instantnea.

Agora que você criou a base instantneas como as instantneas atuais, pode comparar com o comando siguiente do PowerShell:

 Compare-Object (Get-Content -Path .Base-HKCU.txt) (Get-Content -Path .[current_snapshot_file_name])

O comando Compare-Object comparando a instantnea base com a instantnea atual e mostrando que se mudou, como se puede ver a continuacin. La columna SideIndicator indica qu archivo contiene el cambio.

Comparação das instantneas do registro base y atual
Fonte: BleepingComputer

Cabe selar que este método solo compara as claves do Registro de Windows e não compara seus valores, que comnmente se modifica a configuração do Windows e o malware.

Exportar valores também aumentará drasticamente o tamanho de seus instantes e requererá um script complicado para comparar corretamente. Por exemplo, a base instantânea de HKCU com os valores do Registro em uma nova instalação do Windows 10 aumenta de 1,45 MB a 11,6 MB, uma mudança multiplicada por 8.

Sem embargo, comparando os claves do registro sigue um herramienta até que os administradores podem automatizar para solucionar melhor os problemas nos dispositivos que administram.

  • Como alterar o nome de seus AirPods
  • Cmo desactivar Narrador no Windows 10 e 11

Descobre ms contenido

Google Pixel Watch também tem detecção de cadas, pero no hasta el prximo ao

Las melhores tazas de caf calentadas de 2022

Cmo automatize seu iPhone segn el tiempo, la actividad ou la ubicacin

"Eso debe haber sido antes de mi tiempo"

Por qu la NASA enva a Snoopy a la Luna? – Revisando geek

Qu es una carga fantasma?

O PowerShell é uma interface de consola com possibilidade de escritura e união de comandos por meio de instruções. Esta interface de consola está projetada para seu uso por parte de administradores de sistemas com o propósito de automatizar tareas ou realizarlas de forma mais controladas.

¿Qué es Windows PowerShell y para qué sirve?

O PowerShell é uma solução de automatização de tarefas multiplataforma para um shell de linha de comandos, um idioma de script e um marco de administração de configuração. O PowerShell funciona no Windows 10, Linux e macOS. há 6 dias

Você pode fazer isso com o Windows PowerShell?

PowerShell serve para facilitar os administradores de sistemas de automação, administração e configuração de sistemas Windows , também serve para outros programas da Microsoft como SQL Server, Exchange ou IIS.

Qual é a diferença entre CMD e PowerShell?

A principal diferença operacional entre ambos é que o PowerShell permite uma programação orientada a objetos, é decidida, uma programação completa, ademais permite não trabalhar sozinho com o sistema Windows em nível de usuário, também com programas da Microsoft como SQL Server, Exchange ou IIS, é decir, un alcance

¿Qué es el PowerShell ise?

O Windows PowerShell Integrated Scripting Environment ( ISE ) é um aplicativo de host gráfico que permite ler, escrever, executar, depurar e testar scripts e módulos em um ambiente assistido por gráficos.

Ir arriba