日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
詳解Windows注冊(cè)表分析取證

大多數(shù)都知道windows系統(tǒng)中有個(gè)叫注冊(cè)表的東西,但卻很少有人會(huì)去深入的了解它的作用以及如何對(duì)它進(jìn)行操作。然而對(duì)于計(jì)算機(jī)取證人員來(lái)說(shuō)注冊(cè)表無(wú)疑是塊巨大的寶藏。通過(guò)注冊(cè)表取證人員能分析出系統(tǒng)發(fā)生了什么,發(fā)生的時(shí)間以及如何發(fā)生的等。在本文中我將為大家詳細(xì)介紹Windows注冊(cè)表的工作原理,以及如何對(duì)收集用戶留下的各類指紋信息。

創(chuàng)新互聯(lián)公司是一家專注于成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)與策劃設(shè)計(jì),蔡家坡網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設(shè)十載,網(wǎng)設(shè)計(jì)領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:蔡家坡等地區(qū)。蔡家坡做網(wǎng)站價(jià)格咨詢:18982081108

什么是注冊(cè)表?

注冊(cè)表是用于存儲(chǔ)Windows系統(tǒng)用戶,硬件和軟件的存儲(chǔ)配置信息的數(shù)據(jù)庫(kù)。雖然注冊(cè)表是為了配置系統(tǒng)而設(shè)計(jì)的,但它可以跟蹤用戶的活動(dòng),連接到系統(tǒng)的設(shè)備,什么時(shí)間什么軟件被使用過(guò)等都將被記錄在案。所有這些都可用于取證人員,分析溯源用戶的惡意或非惡意行為。

蜂巢

在注冊(cè)表中,有根文件夾。這些根文件夾被稱為蜂巢。 以下是5個(gè)注冊(cè)表的配置單元:

  • HKEY_USERS:包含所有加載的用戶配置文件
  • HKEYCURRENT_USER:當(dāng)前登錄用戶的配置文件
  • HKEY_CLASSES_ROOT:包含所有已注冊(cè)的文件類型、OLE等信息
  • HKEYCURRENT_CONFIG:?jiǎn)?dòng)時(shí)系統(tǒng)硬件配置文件
  • HKEYLOCAL_MACHINE:配置信息,包括硬件和軟件設(shè)置

注冊(cè)表結(jié)構(gòu)

注冊(cè)表由鍵、子鍵和值項(xiàng)構(gòu)成,一個(gè)鍵就是分支中的一個(gè)文件夾,而子鍵就是這個(gè)文件夾中的子文件夾,子鍵同樣是一個(gè)鍵。一個(gè)值項(xiàng)則是一個(gè)鍵的當(dāng)前定義,由名稱、數(shù)據(jù)類型以及分配的值組成。一個(gè)鍵可以有一個(gè)或多個(gè)值,每個(gè)值的名稱各不相同,如果一個(gè)值的名稱為空,則該值為該鍵的默認(rèn)值。通常,值是0或1,意味著開(kāi)或關(guān),也可以包含通常以十六進(jìn)制顯示的更復(fù)雜的信息。

訪問(wèn)注冊(cè)表

在我們普通的windows系統(tǒng)上,我們可以使用Windows內(nèi)置的regedit實(shí)用程序來(lái)訪問(wèn)注冊(cè)表。我們只需在左下角開(kāi)始界面的搜索框內(nèi)鍵入regedit,然后單擊便可打開(kāi)我們的注冊(cè)表編輯器。

注冊(cè)表信息取證價(jià)值

對(duì)于計(jì)算機(jī)取證人員來(lái)說(shuō)注冊(cè)表無(wú)疑是塊巨大的寶藏。通過(guò)注冊(cè)表取證人員能分析出系統(tǒng)發(fā)生了什么,發(fā)生的時(shí)間以及如何發(fā)生的等。在注冊(cè)表中可以獲取到的信息包括:

  • 用戶以及他們最后一次使用系統(tǒng)的時(shí)間
  • 最近使用過(guò)的軟件
  • 掛載到系統(tǒng)的任何設(shè)備,包括閃存驅(qū)動(dòng)器,硬盤驅(qū)動(dòng)器,手機(jī),平板電腦等的唯一標(biāo)識(shí)符。
  • 系統(tǒng)連接過(guò)的特定無(wú)線接入點(diǎn)
  • 什么文件何時(shí)被訪問(wèn)過(guò)
  • 列出在系統(tǒng)上完成的任何搜索等

注冊(cè)表中的無(wú)線證據(jù)

許多黑客會(huì)通過(guò)攻破目標(biāo)網(wǎng)絡(luò)的無(wú)線來(lái)進(jìn)行入侵。這種情況如果調(diào)查人員對(duì)提取的IP進(jìn)行溯源,往往會(huì)最終定位在鄰居家或周圍其他無(wú)線AP。

例如早在2012年1月,一位匿名者成員John Borrell III,就曾入侵了鹽湖城和猶他州警察局的電腦系統(tǒng)。最終聯(lián)邦調(diào)查局通過(guò)追蹤,定位到了俄亥俄州托萊多的祝福圣禮教堂的Wi-Fi AP地址。黑客顯然是破解了教堂無(wú)線AP的密碼,然后利用該IP在互聯(lián)網(wǎng)上使用,以達(dá)到隱藏自己的目的。最終,聯(lián)邦調(diào)查局還是通過(guò)各種調(diào)查技術(shù)以及偵察工作找到了他。最終Borrell在聯(lián)邦監(jiān)獄被定罪,并被判處兩年有期徒刑。

在收繳了Borrell電腦后,取證人員可以通過(guò)檢查其系統(tǒng)注冊(cè)表來(lái)收集他此前連接過(guò)教會(huì)AP的證據(jù)。可以通過(guò)查看以下注冊(cè)表位置獲?。?/p>

 
 
 
 
    
  
  
  
  
  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
    2.

在以上位置我們可以找到機(jī)器連接到的無(wú)線接入點(diǎn)的GUID列表。我們點(diǎn)擊其中的任意一個(gè),它都將為我們顯示一些關(guān)于無(wú)線的詳細(xì)信息,其中包括SSID名稱和以十六進(jìn)制表示的最后連接日期。

從以下截圖可以獲知,Borrell于2014年11月連接過(guò)SSID為“HolidayInnColumbia”的無(wú)線AP。

RecentDocs鍵

Windows注冊(cè)表會(huì)跟蹤用戶活動(dòng)的大量信息。通常情況下,這些注冊(cè)表項(xiàng)旨在使Windows運(yùn)行更加高效和順利。但對(duì)于調(diào)查取證人員來(lái)說(shuō),這些鍵值就好比是用戶或攻擊者活動(dòng)的線路圖。

這些鍵值中其中有一個(gè)叫“RecentDocs”的鍵,可以通過(guò)文件擴(kuò)展來(lái)跟蹤系統(tǒng)上使用或打開(kāi)的最新文檔。我們可以在以下位置找到它:

 
 
 
 
    
  
  
  
  
  1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
    2.

如果你想查看用戶最近使用的Word文檔,那么我們可以在.doc或.docx擴(kuò)展名下進(jìn)行查找,這取決于它們創(chuàng)建的Word文檔的版本(每個(gè)鍵可以容納最近10個(gè)文檔)。例如我們點(diǎn)擊.docx擴(kuò)展的鍵,可以看到這里為我們列出了最近使用過(guò)的10個(gè)文檔。

當(dāng)我們點(diǎn)擊其中一個(gè)鍵時(shí),它會(huì)顯示有關(guān)文檔的信息,如下所示。我們可以在十六進(jìn)制,左側(cè)和ASCII格式的右側(cè)查看文檔數(shù)據(jù)。從以下數(shù)據(jù)可以得知,該文件是一個(gè)Metasploit的課程大綱。

在某些時(shí)候攻擊者可能會(huì)上傳一個(gè).tar文件,這將是一個(gè)非常好的證據(jù)。因?yàn)橐话銇?lái)說(shuō)Windows機(jī)器上不應(yīng)該顯示一個(gè).tar文件擴(kuò)展名,所以我們可以對(duì).tar鍵中的文件做進(jìn)一步的檢查,或許可以發(fā)現(xiàn)有關(guān)攻擊或攻擊者的蛛絲馬跡。

在民事或政策違規(guī)調(diào)查中,證據(jù)可能會(huì)在各種圖形文件擴(kuò)展名中找到(例如.jpg,.gif或.png)。

TypedURLs鍵

當(dāng)用戶在Internet Explorer中輸入U(xiǎn)RL時(shí),該值將被存儲(chǔ)在以下注冊(cè)表中:

 
 
 
 
    
  
  
  
  
  1. HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
    2.

當(dāng)打開(kāi)該鍵時(shí),它會(huì)為我們列出用戶使用IE訪問(wèn)的最后URL瀏覽記錄。在這些記錄中或許我們可以找到惡意軟件的來(lái)源,或在民事或政策違規(guī)類的調(diào)查中,獲知用戶正在看的內(nèi)容是什么。

鍵值將從urI1(最近的)~ urI25(之前的)。

IP地址

注冊(cè)表還跟蹤用戶接口的IP地址。請(qǐng)注意接口可能有多個(gè),該注冊(cè)表項(xiàng)將跟蹤每個(gè)接口的IP地址及相關(guān)信息。

 
 
 
 
    
  
  
  
  
  1. HKEY_LOCAL_MACHINE\System\Services\CurrentControlSet\services\Tcpip\Parameters\Interfaces
    2.

如下所示,我們可以找到分配給接口的IP地址,子網(wǎng)掩碼以及DHCP服務(wù)器租用IP的時(shí)間。這樣,我們就可以判斷嫌疑人在入侵或犯罪時(shí)是否使用了某個(gè)特定的IP。

啟動(dòng)項(xiàng)在注冊(cè)表中的位置

作為一名取證人員,我們經(jīng)常需要找到哪些應(yīng)用程序或服務(wù)會(huì)在系統(tǒng)啟動(dòng)時(shí)被啟動(dòng)。因?yàn)楣粽吆芸赡軙?huì)通過(guò)這種方式來(lái)啟動(dòng)他們?cè)谀繕?biāo)機(jī)器上種植的木馬程序,以與遠(yuǎn)程服務(wù)器建立連接。我們可以在以下位置找到該啟動(dòng)項(xiàng):

 
 
 
 
    
  
  
  
  
  1. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    2.

這些子項(xiàng)中指定的任何軟件/位置都將在每次系統(tǒng)啟動(dòng)時(shí)啟動(dòng)。Rootkit和其它惡意軟件通常會(huì)被放置在這里。

RunOnce啟動(dòng)

如果攻擊者只是希望軟件在啟動(dòng)時(shí)運(yùn)行一次,則可以在此處設(shè)置子鍵。

 
 
 
 
    
  
  
  
  
  1. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
    2.

啟動(dòng)服務(wù)

下面的鍵列出了系統(tǒng)啟動(dòng)時(shí)將會(huì)啟動(dòng)的所有服務(wù)。如果鍵值設(shè)置為2,服務(wù)將自動(dòng)啟動(dòng);如果設(shè)置為3,則必須手動(dòng)啟動(dòng)服務(wù);如果設(shè)置為4,則該服務(wù)被禁用。

 
 
 
 
    
  
  
  
  
  1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
    2.

啟動(dòng)遺留應(yīng)用程序

運(yùn)行16位應(yīng)用程序時(shí),列出的程序運(yùn)行在:

 
 
 
 
    
  
  
  
  
  1. HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\WOW
    2.

特定用戶登錄時(shí)啟動(dòng)

在以下鍵中,鍵值將在特定用戶登錄時(shí)運(yùn)行。

 
 
 
 
    
  
  
  
  
  1. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    2.

注冊(cè)表中的存儲(chǔ)設(shè)備證據(jù)

攻擊者常常會(huì)使用Flash驅(qū)動(dòng)器或硬盤驅(qū)動(dòng)器進(jìn)行惡意攻擊,然后將其移除,以避免留下任何的證據(jù)。然而經(jīng)驗(yàn)豐富的取證人員,仍然可以在注冊(cè)表中找到這些存儲(chǔ)設(shè)備的證據(jù)。

不同版本的Windows系統(tǒng),注冊(cè)表可能也有所不同。一名專業(yè)的取證人員,需要了解不同版本間的差異。由于Windows 7目前仍然是使用最廣泛的操作系統(tǒng),所以這里我將以Windows 7為例。

USB存儲(chǔ)設(shè)備

想象一下在某些場(chǎng)景中,攻擊者可能在你的電腦插入了一個(gè)USB設(shè)備,并拷貝走了你大量重要的數(shù)據(jù)文件。這時(shí)我們就可以通過(guò)以下鍵值,來(lái)查找USB存儲(chǔ)設(shè)備插入和使用的證據(jù)。

 
 
 
 
    
  
  
  
  
  1. HK_Local_Machine\System\ControlSet00x\Enum\USBSTOR
    2.

展開(kāi)USBSTOR可以查看到,所有曾經(jīng)連接過(guò)該系統(tǒng)的USB存儲(chǔ)設(shè)備列表。

在上面的截圖中,我圈出了一個(gè)可疑的USB設(shè)備。當(dāng)我們展開(kāi)它時(shí),它會(huì)顯示該設(shè)備的唯一標(biāo)識(shí)符。通過(guò)點(diǎn)擊此標(biāo)識(shí)符,我們可以找到有關(guān)設(shè)備的更多信息。

如上圖所示,當(dāng)我們點(diǎn)擊USB存儲(chǔ)標(biāo)識(shí)符時(shí),它會(huì)在右側(cè)窗口中顯示全局唯一標(biāo)識(shí)符(GUID),F(xiàn)riendlyName和硬件ID等。

掛載設(shè)備

如果攻擊者使用任何必須掛載的硬件設(shè)備來(lái)讀取或?qū)懭霐?shù)據(jù)(CD-ROM,DVD,硬盤驅(qū)動(dòng)器,閃存驅(qū)動(dòng)器等),注冊(cè)表將記錄已掛載的設(shè)備。 此信息存儲(chǔ)在:

 
 
 
 
    
  
  
  
  
  1. HKEY_LOCAL_MACHINE\System\MountedDevices
    2.

如下所示,當(dāng)我們點(diǎn)擊該鍵時(shí),它為我們提供了一個(gè)很長(zhǎng)的列表,列表中都是曾經(jīng)掛載過(guò)的設(shè)備。

如果我們需要獲取更多有關(guān)這些掛載設(shè)備的信息,我們可以簡(jiǎn)單的點(diǎn)擊它,它將打開(kāi)一個(gè)小的應(yīng)用程序,使我們能夠以ASCII讀取數(shù)據(jù)。如圖所示,該設(shè)備是Teac制造的IDE CD-ROM。

如果系統(tǒng)上沒(méi)有TEAC CD ROM,那么取證人員就知道他們需要找到這塊硬件才能找到進(jìn)一步的犯罪證據(jù)。

通過(guò)本文的學(xué)習(xí),我們知道注冊(cè)表不僅僅是一個(gè)用于存儲(chǔ)Windows系統(tǒng)用戶,硬件和軟件的存儲(chǔ)配置信息的數(shù)據(jù)庫(kù),更是計(jì)算機(jī)犯罪取證中的一個(gè)寶庫(kù)。想要成為一名合格的計(jì)算機(jī)取證人員,必須要熟練運(yùn)用和掌握注冊(cè)表的相關(guān)知識(shí)。


標(biāo)題名稱:詳解Windows注冊(cè)表分析取證
URL地址:http://www.dlmjj.cn/article/copjjsg.html