欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

详解Windows注册表分析取证

来源:本站整理 作者:佚名 时间:2017-08-04 TAG: 我要投稿

大多数都知道windows系统中有个叫注册表的东西,但却很少有人会去深入的了解它的作用以及如何对它进行操作。然而对于计算机取证人员来说注册表无疑是块巨大的宝藏。通过注册表取证人员能分析出系统发生了什么,发生的时间以及如何发生的等。在本文中我将为大家详细介绍Windows注册表的工作原理,以及如何对收集用户留下的各类指纹信息。
什么是注册表?
注册表是用于存储Windows系统用户,硬件和软件的存储配置信息的数据库。虽然注册表是为了配置系统而设计的,但它可以跟踪用户的活动,连接到系统的设备,什么时间什么软件被使用过等都将被记录在案。所有这些都可用于取证人员,分析溯源用户的恶意或非恶意行为。
蜂巢
在注册表中,有根文件夹。这些根文件夹被称为蜂巢。 以下是5个注册表的配置单元:
HKEY_USERS:包含所有加载的用户配置文件
HKEYCURRENT_USER:当前登录用户的配置文件
HKEY_CLASSES_ROOT:包含所有已注册的文件类型、OLE等信息
HKEYCURRENT_CONFIG:启动时系统硬件配置文件
HKEYLOCAL_MACHINE:配置信息,包括硬件和软件设置
注册表结构
注册表由键、子键和值项构成,一个键就是分支中的一个文件夹,而子键就是这个文件夹中的子文件夹,子键同样是一个键。一个值项则是一个键的当前定义,由名称、数据类型以及分配的值组成。一个键可以有一个或多个值,每个值的名称各不相同,如果一个值的名称为空,则该值为该键的默认值。通常,值是0或1,意味着开或关,也可以包含通常以十六进制显示的更复杂的信息。

访问注册表
在我们普通的windows系统上,我们可以使用Windows内置的regedit实用程序来访问注册表。我们只需在左下角开始界面的搜索框内键入regedit,然后单击便可打开我们的注册表编辑器。

注册表信息取证价值
对于计算机取证人员来说注册表无疑是块巨大的宝藏。通过注册表取证人员能分析出系统发生了什么,发生的时间以及如何发生的等。在注册表中可以获取到的信息包括:
用户以及他们最后一次使用系统的时间
最近使用过的软件
挂载到系统的任何设备,包括闪存驱动器,硬盘驱动器,手机,平板电脑等的唯一标识符。
系统连接过的特定无线接入点
什么文件何时被访问过
列出在系统上完成的任何搜索等
注册表中的无线证据
许多黑客会通过攻破目标网络的无线来进行入侵。这种情况如果调查人员对提取的IP进行溯源,往往会最终定位在邻居家或周围其他无线AP。
例如早在2012年1月,一位匿名者成员John Borrell III,就曾入侵了盐湖城和犹他州警察局的电脑系统。最终联邦调查局通过追踪,定位到了俄亥俄州托莱多的祝福圣礼教堂的Wi-Fi AP地址。黑客显然是破解了教堂无线AP的密码,然后利用该IP在互联网上使用,以达到隐藏自己的目的。最终,联邦调查局还是通过各种调查技术以及侦察工作找到了他。最终Borrell在联邦监狱被定罪,并被判处两年有期徒刑。
在收缴了Borrell电脑后,取证人员可以通过检查其系统注册表来收集他此前连接过教会AP的证据。可以通过查看以下注册表位置获取:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
在以上位置我们可以找到机器连接到的无线接入点的GUID列表。我们点击其中的任意一个,它都将为我们显示一些关于无线的详细信息,其中包括SSID名称和以十六进制表示的最后连接日期。
从以下截图可以获知,Borrell于2014年11月连接过SSID为“HolidayInnColumbia”的无线AP。

RecentDocs键
Windows注册表会跟踪用户活动的大量信息。通常情况下,这些注册表项旨在使Windows运行更加高效和顺利。但对于调查取证人员来说,这些键值就好比是用户或攻击者活动的线路图。
这些键值中其中有一个叫“RecentDocs”的键,可以通过文件扩展来跟踪系统上使用或打开的最新文档。我们可以在以下位置找到它:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
如果你想查看用户最近使用的Word文档,那么我们可以在.doc或.docx扩展名下进行查找,这取决于它们创建的Word文档的版本(每个键可以容纳最近10个文档)。例如我们点击.docx扩展的键,可以看到这里为我们列出了最近使用过的10个文档。

当我们点击其中一个键时,它会显示有关文档的信息,如下所示。我们可以在十六进制,左侧和ASCII格式的右侧查看文档数据。从以下数据可以得知,该文件是一个Metasploit的课程大纲。

在某些时候攻击者可能会上传一个.tar文件,这将是一个非常好的证据。因为一般来说Windows机器上不应该显示一个.tar文件扩展名,所以我们可以对.tar键中的文件做进一步的检查,或许可以发现有关攻击或攻击者的蛛丝马迹。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载