注册表取证
Windows注册表除了配置信息外,还保存有关最近访问的文件的信息以及有关用户活动的大量信息。因此,本文的目的是使您深入了解注册表及其所拥有信息的财富。如今,对于大多数管理员和法医分析师而言,注册表似乎就像是一片漆黑的大门。
Windows注册表
系统主要由几个文件管理,尤其是autoexec.bat,config.sys,win.ini (在Windows上)和system.ini。因此,这些文件中的各种设置确定了要加载的程序以及系统的外观和对用户输入的响应,中央的分层数据库为应用程序,硬件设备和用户维护配置设置。当管理员或取证者期望打开Regedit.exe时,他会看到带有五个根文件夹或“蜂箱”的树状结构。HKEY_CLASSES_ROOT配置单元包含与使用哪个应用程序打开系统上各种文件有关的配置信息。
HKEY_CURRENT_USER-加载当前登录用户的用户配置文件。
HKEY_LOCAL_MACHINE-包含系统的大量配置信息,包括硬件设置和软件设置。
HKEY_USERS-包含该系统的所有活动加载的用户配置文件
HKEY_CURRENT_CONFIG-包含系统启动时使用的硬件配置文件。
注册表取证
假设您未经您的同意就将计算机置于恶意人员的手中。然后,您如何确定他将对您的计算机执行的确切操作。您可以通过检查注册表来跟踪他的活动,如下所示:
最近用户列表
(HKEY_CURRENT_USER\software\microsoft\windows\currentversion\Explorer\RunMRU)
它包含RunMRU键提供的信息,检查人员可以进一步了解正在调查的用户以及正在使用的应用程序。在上图中,您可以看到用户已打开cmd,记事本,MSPaint等。
USB连接
(HKEY_LOCAL_MACHINE\SYSTEM\controlset001\Enum\USBSTOR。)
该键存储产品的内容和曾经连接到系统的任何USB设备的设备ID值。
附加的硬件列表-(HKEY_LOCAL_MACHINE\SYSTEM|MountedDevices。)
该信息对于法医检查人员可能有用,因为它表明操作系统已识别出任何已连接的存储设备。如果检查者注意到物理连接的设备与此处报告的设备之间存在差异,则可能表明某些设备在获取证据之前已被移除。
恶意软件正在运行-(HKEY_CURRENT_USER\Software\)
该信息对于取证审查员而言将是非常有用的信息,因为它可能会看到黑客使用了VPN,例如用于匿名的CyberGhost。
最近使用的应用程序-
(HKEY_CURRENT_USER\SOFTWARE\Microsoft\Currentversion\Search\RecentApps)
通过导航到键,将给出用户最后访问的应用列表的信息。
InternetExplorer信息
(HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\TypedURLs。)
InternetExplorer是Windows操作系统中的本机Web浏览器。像许多应用程序一样,它在数据存储中广泛使用注册表。从键,我们可以获得这样的信息。