TL;DR. No puedes simplemente copy C:\Windows\System32\config\SYSTEM mientras Windows está corriendo — el archivo está bloqueado. Usa FTK Imager, KAPE, robocopy /B, un snapshot VSS o Velociraptor para obtener una copia forense en un host vivo, o lee el archivo directamente desde un disco offline montado. Sea cual sea el método, coge también SYSTEM.LOG1 y SYSTEM.LOG2 — sin ellos, faltan las escrituras recientes.
Por qué no puedes simplemente copiarlo
El kernel de Windows mantiene la colmena SYSTEM abierta en acceso exclusivo mientras el SO está corriendo. Un copy o cp normal devuelve El proceso no puede tener acceso al archivo porque está siendo utilizado por otro proceso. Peor, aunque saltes el bloqueo y leas los bytes, el SO en marcha mantiene las escrituras recientes en memoria hasta el siguiente apagado limpio — incluyendo las entradas más útiles del ShimCache.
Así que tu objetivo es uno de tres:
- Saltar el bloqueo limpiamente en el host en marcha (NTFS crudo / VSS / copia forense).
- Leer el archivo directamente desde una imagen de disco offline montada o una VM pausada.
- Recuperar la copia en memoria desde una imagen de memoria (la única forma de obtener entradas que nunca llegaron al disco).
Método 1 — dead box / disco offline montado
Si puedes apagar la máquina o montar su disco en sólo lectura, este es el camino más simple:
<LetraUnidad>:\Windows\System32\config\SYSTEM
<LetraUnidad>:\Windows\System32\config\SYSTEM.LOG1
<LetraUnidad>:\Windows\System32\config\SYSTEM.LOG2
Copia los tres. Los archivos .LOG1 / .LOG2 son logs de transacción; un parser robusto los reproduce antes de leer la colmena principal, así no pierdes escrituras aún no fusionadas.
Método 2 — sistema en marcha: copia forense
En un host activo, varias herramientas pueden leer archivos bloqueados a nivel de volumen:
- FTK Imager — GUI, gratuito. «Obtain Protected Files» → «Custom» → selecciona
SYSTEM,SYSTEM.LOG1,SYSTEM.LOG2. Salida a un disco externo. - KAPE — línea de comandos, scriptable. El target
RegistryHivessaca todas las colmenas relevantes + logs:kape.exe --tsource C: --target RegistryHives --tdest C:\out - robocopy con
/B—/Babre archivos en modo backup, saltándose el bloqueo de usuario (sigue requiriendo admin y SeBackupPrivilege). Opción rápida cuando no hay herramientas DFIR a mano:robocopy C:\Windows\System32\config C:\out SYSTEM SYSTEM.LOG1 SYSTEM.LOG2 /B - Snapshot VSS —
vssadmin create shadowproduce una instantánea de un momento concreto que puedes leer. Útil cuando necesitas una vista consistente y no puedes apagar el sistema.
Método 3 — imagen de memoria (lo mejor para entradas recientes)
La colmena SYSTEM en disco solo contiene las entradas persistidas en el último apagado limpio. Para un host que no ha sido reiniciado limpiamente desde el incidente, las entradas más recientes están en memoria y en ningún otro sitio.
Captura una imagen de memoria (WinPmem, Magnet RAM Capture, AVML), luego extrae la colmena SYSTEM — o extrae el ShimCache directamente — con Volatility:
# Extraer la colmena del registro
vol -f memory.raw windows.registry.hivelist
vol -f memory.raw windows.registry.hivedump --offset <addr>
# O leer el ShimCache directamente de memoria
vol -f memory.raw windows.shimcachemem
Extraer el ShimCache de un volcado de memoria cubre esto en profundidad.
Método 4 — triaje en vivo a escala (Velociraptor)
Para colección a nivel de flota, Velociraptor lee la colmena bloqueada vía acceso NTFS directo y la devuelve para análisis offline. Usa la familia de artefactos Windows.Forensics.AppCompat o Windows.Registry.NTUser, o simplemente recolecta el archivo de colmena con Generic.Forensic.LocalHashes más la opción accessor: ntfs.
No te saltes los logs de transacción
Este es el error más común: copiar SYSTEM sin SYSTEM.LOG1 y SYSTEM.LOG2. Las escrituras pendientes viven en los logs hasta el siguiente checkpoint, y ese delta puede incluir las entradas que más te importan. Los parsers robustos (AppCompatCacheParser de Eric Zimmerman, ShimCacheParser, esta herramienta) reproducen los logs antes de leer la colmena — pero solo si se los suministras.
Después, parsea
Suelta la colmena SYSTEM en el Shimcache Parser — corre completamente en tu navegador, sin paso de subida, y maneja todas las versiones de Windows desde XP hasta Windows 11. Para los detalles del formato, mira la referencia del formato binario Windows 10 / 11.
Lectura adicional
- Microsoft Learn — Registry hives — referencia oficial de archivos de colmena y logs de transacción.
- KAPE de Eric Zimmerman —
TargetsyModulespara adquisición sistemática. - Velociraptor
Windows.Registry.AppCompatCache— colección en memoria en vivo. - Documentación de Volatility 3 — extracción de colmena desde memoria.