Cómo conocer la fecha de modificación del registro de Windows con RegistryDate

Es interesante notar que Windows no incluye ningún tipo de herramienta para ver la fecha de modificación de una clave del registro.

Pero eso ya no es un problema, porque los compañeros de hispasec han creado una herramienta sencilla para mostrar este dato, denominada RegistryDate.

Esta herramienta no solo muestra la fecha de modificación de una clave sino que también permite buscar ramas modificadas entre dos fechas; lo cual resulta sumamente útil para análisis forenses.

Funciona desde línea de comando y existen dos versiones, una para sistemas de 64 bits y otra común para todos los sistemas. La diferencia entre ambas es que la versión para 64 bits muestra ramas específicas de sistemas de 64 bits que no muestra la otra versión.

Con esta herramienta es fácil averiguar cuando se ha incluido una nueva clave al registro como por ejemplo en la rama:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

que es muy usada por numerosos malwares.

La noticia completa y las características en detalle del programa lo tenéis aquí.

Para poder descargarlo podéis hacerlo desde el siguiente enlace.

Saludos curiosos.