OpenStackDay.pl

Analiza danych finansowych na nowoczesnym ekranie laptopa

Monitorowanie zmian w rejestrze Windows – jak śledzić modyfikacje systemu?

Marta Doruch 5 min. czytania

Rejestr Windows to centralna baza danych przechowująca konfigurację systemu, ustawienia aplikacji, informacje o sprzęcie i ślady aktywności użytkownika.

Monitorowanie zmian w rejestrze pozwala szybko wykrywać nieautoryzowane modyfikacje, analizować działania malware i śledzić instalacje oprogramowania. W tym artykule omawiamy narzędzia, klucze istotne dla audytu oraz najlepsze praktyki, z wykorzystaniem dedykowanych programów i wbudowanych mechanizmów Windows.

Czym jest rejestr Windows i dlaczego warto go monitorować?

Rejestr systemowy (Registry) to hierarchiczna struktura kluczy i wartości, dostępna po naciśnięciu Windows + R i wpisaniu regedit. Przechowuje dane o sprzęcie, konfiguracji aplikacji, politykach zabezpieczeń, liście ostatnio używanych plików oraz podłączonych nośnikach.

Zmiany w rejestrze mogą sygnalizować instalację złośliwego oprogramowania, próby eskalacji uprawnień lub manipulacje użytkowników. Monitorowanie wspiera analizę śledczą (forensics), audyt bezpieczeństwa i optymalizację systemu. Na przykład: klucz HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache pozwala śledzić uruchamianie i instalacje aplikacji, a plik C:\Windows\AppCompat\Programs\Amcache.hve rejestruje metadane programów dla poprawy wydajności i analizy timeline.

Kluczowe klucze rejestru do monitorowania aktywności

Niektóre obszary rejestru przechowują ślady aktywności użytkownika i systemu. Poniżej zestawienie najważniejszych lokalizacji wraz z ich zastosowaniem:

  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU – lista ostatnio otwieranych i zapisywanych plików; pomaga identyfikować edytowane dokumenty i ułatwia odzyskiwanie danych;
  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2 – informacje o podłączanych urządzeniach (pendrive’y, dyski); śledzi czas podłączenia i przypisane litery – kluczowe w analizie ataków;
  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs – ostatnio otwierane dokumenty; ułatwia rekonstrukcję aktywności;
  • HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery – historia wyszukiwań w Eksploratorze plików; pokazuje preferencje użytkownika;
  • HKCU\SOFTWARE\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU i Bags – szczegóły o folderach i ustawieniach wyświetlania; umożliwia precyzyjne śledzenie nawigacji;
  • HKCR\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders – ścieżki do folderów systemowych; pozwala wykrywać zmiany dokonywane przez atakujących.

Narzędzia takie jak Registry Explorer i ShellBags Explorer przyspieszają przegląd i porównywanie tych struktur podczas audytu lub dochodzenia.

Narzędzia do monitorowania zmian w rejestrze – przegląd i porównanie

Istnieje wiele programów dedykowanych śledzeniu modyfikacji. Poniższa tabela porównuje kluczowe opcje:

Narzędzie Główne funkcje Zastosowanie Źródło
Registry Live Watch 1.0 Monitorowanie wskazanego klucza, powiadomienia, zapis do dziennika zdarzeń Natychmiastowe alerty o zmianach w konkretnym kluczu LeeLu Soft
RegFromApp 1.33 Śledzenie zmian wprowadzanych przez aplikacje, eksport do pliku .reg Analiza wpływu programów na rejestr (np. po instalacji) NirSoft
Regshot Porównanie rejestru przed/po instalacji, raport różnic Dokumentowanie modyfikacji po wdrożeniu oprogramowania Open-source
Process Monitor 4.01 Monitorowanie procesów, rejestru, plików i sieci w czasie rzeczywistym; filtrowanie Kompleksowa analiza aktywności systemowej i śladów malware Sysinternals (Microsoft)

Registry Live Watch wyróżnia się prostotą: wybierasz klucz, uruchamiasz monitoring i otrzymujesz komunikat lub wpis w Event Log po każdej zmianie. RegFromApp generuje plik .reg z modyfikacjami konkretnej aplikacji – idealne do analizy offline. Process Monitor (Sysinternals) rejestruje operacje w locie, z precyzyjnym filtrowaniem na proces, ścieżkę, rezultat i typ operacji.

Dla porównań przed/po instalacji lub aktualizacji Regshot tworzy czytelne raporty różnic, co ułatwia testy wdrożeniowe i regresyjne.

Wbudowane mechanizmy Windows – audyt i Event Log

Windows oferuje natywne mechanizmy monitoringu bez konieczności instalacji dodatkowych narzędzi.

Polityka audytu

Włącz audyt dla kluczy rejestru w module zabezpieczeń (ścieżka: Zabezpieczenia → Zaawansowane → Audyt). Po konfiguracji zdarzenia trafią do Podglądu zdarzeń (Event Viewer) w sekcji Security.

Śledź zdarzenia Audit Policy Changes, aby wykrywać próby wyciszania logowania przez atakujących. Security Log gromadzi logowania, użycie uprawnień i zmiany kont, a Sysmon (usługa systemowa) wzbogaca telemetry o procesy, sieć i modyfikacje rejestru – to fundament pracy zespołów Blue Team.

Zdalny monitoring

W narzędziach klasy korporacyjnej, takich jak nVision (Axence), skorzystaj ze zdalnego edytora rejestru: wybierz urządzenie w konsoli i przejdź do zakładki Windows → Regedit. Funkcja pozwala dodawać i usuwać klucze oraz wartości (REG_SZ, REG_DWORD itd.); ograniczenie: brak edycji typów „Unknown”.

Zaawansowane scenariusze – analiza śledcza i bezpieczeństwo

W dochodzeniach kluczowe są artefakty ShellBags (BagMRU/Bags) do rekonstrukcji nawigacji folderami oraz plik Amcache.hve prezentujący instalacje i uruchomienia aplikacji.

Process Monitor łączy operacje na rejestrze, plikach i sieci – filtruj po konkretnym procesie, aby namierzać zachowania malware lub niepożądanych aplikacji. W przypadku aplikacji UWP część konfiguracji jest izolowana, jednak rejestr nadal dostarcza cennych śladów.

Najlepsze praktyki

Poniższe wskazówki warto wdrożyć na każdym etapie pracy z monitoringiem rejestru:

  • regularnie twórz kopie zapasowe rejestru (np. reg export HKLM\SOFTWARE backup_hklm_software.reg),
  • używaj sysmon z odpowiednią konfiguracją rejestrowania zmian w rejestrze,
  • koreluj zdarzenia z event logiem dla pełnego obrazu incydentu,
  • testuj zmiany na maszynie wirtualnej i unikaj edycji produkcyjnego rejestru bez backupu.

Potencjalne ryzyka i ograniczenia

Długotrwałe rejestrowanie zdarzeń (np. w Process Monitor) może obciążać system, a audyt wymaga uprawnień administratora i prawidłowej konfiguracji, w przeciwnym razie logi nie powstaną.

Zdalne narzędzia (np. nVision) zwykle wymagają agenta i odpowiednich polityk sieciowych. W analizie śledczej uwzględnij techniki antyforensyki: atakujący może czyścić wpisy (np. RecentDocs) lub modyfikować politykę audytu, aby ukryć ślady.

Marta Doruch

Absolwentka Informatyki Stosowanej na Politechnice Warszawskiej oraz Finansów w Szkole Głównej Handlowej. Doświadczenie zdobywała, wdrażając rozwiązania chmurowe OpenStack i AWS dla fintechów w Londynie i Zurychu, by obecnie łączyć świat technologii z biznesem jako konsultantka IT w Warszawie. Pasjonatka rynku nieruchomości i inwestorka, która po godzinach testuje nowinki Smart Home i pisze o wpływie sztucznej inteligencji na współczesną edukację.

Podobne artykuły