日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

大多數(shù)都知道windows系統(tǒng)中有個叫注冊表的東西，但卻很少有人會去深入的了解它的作用以及如何對它進(jìn)行操作。然而對于計算機取證人員來說注冊表無疑是塊巨大的寶藏。通過注冊表取證人員能分析出系統(tǒng)發(fā)生了什么，發(fā)生的時間以及如何發(fā)生的等。在本文中我將為大家詳細(xì)介紹Windows注冊表的工作原理，以及如何對收集用戶留下的各類指紋信息。

創(chuàng)新互聯(lián)公司是一家專注于成都網(wǎng)站建設(shè)、網(wǎng)站設(shè)計與策劃設(shè)計,蔡家坡網(wǎng)站建設(shè)哪家好?創(chuàng)新互聯(lián)公司做網(wǎng)站,專注于網(wǎng)站建設(shè)十載,網(wǎng)設(shè)計領(lǐng)域的專業(yè)建站公司;建站業(yè)務(wù)涵蓋:蔡家坡等地區(qū)。蔡家坡做網(wǎng)站價格咨詢:18982081108

什么是注冊表?

注冊表是用于存儲Windows系統(tǒng)用戶，硬件和軟件的存儲配置信息的數(shù)據(jù)庫。雖然注冊表是為了配置系統(tǒng)而設(shè)計的，但它可以跟蹤用戶的活動，連接到系統(tǒng)的設(shè)備，什么時間什么軟件被使用過等都將被記錄在案。所有這些都可用于取證人員，分析溯源用戶的惡意或非惡意行為。

蜂巢

在注冊表中，有根文件夾。這些根文件夾被稱為蜂巢。 以下是5個注冊表的配置單元：

• HKEY_USERS：包含所有加載的用戶配置文件
• HKEYCURRENT_USER：當(dāng)前登錄用戶的配置文件
• HKEY_CLASSES_ROOT：包含所有已注冊的文件類型、OLE等信息
• HKEYCURRENT_CONFIG：啟動時系統(tǒng)硬件配置文件
• HKEYLOCAL_MACHINE：配置信息，包括硬件和軟件設(shè)置

注冊表結(jié)構(gòu)

注冊表由鍵、子鍵和值項構(gòu)成，一個鍵就是分支中的一個文件夾，而子鍵就是這個文件夾中的子文件夾，子鍵同樣是一個鍵。一個值項則是一個鍵的當(dāng)前定義，由名稱、數(shù)據(jù)類型以及分配的值組成。一個鍵可以有一個或多個值，每個值的名稱各不相同，如果一個值的名稱為空，則該值為該鍵的默認(rèn)值。通常，值是0或1，意味著開或關(guān)，也可以包含通常以十六進(jìn)制顯示的更復(fù)雜的信息。

訪問注冊表

在我們普通的windows系統(tǒng)上，我們可以使用Windows內(nèi)置的regedit實用程序來訪問注冊表。我們只需在左下角開始界面的搜索框內(nèi)鍵入regedit，然后單擊便可打開我們的注冊表編輯器。

注冊表信息取證價值

對于計算機取證人員來說注冊表無疑是塊巨大的寶藏。通過注冊表取證人員能分析出系統(tǒng)發(fā)生了什么，發(fā)生的時間以及如何發(fā)生的等。在注冊表中可以獲取到的信息包括：

• 用戶以及他們最后一次使用系統(tǒng)的時間
• 最近使用過的軟件
• 掛載到系統(tǒng)的任何設(shè)備，包括閃存驅(qū)動器，硬盤驅(qū)動器，手機，平板電腦等的唯一標(biāo)識符。
• 系統(tǒng)連接過的特定無線接入點
• 什么文件何時被訪問過
• 列出在系統(tǒng)上完成的任何搜索等

注冊表中的無線證據(jù)

許多黑客會通過攻破目標(biāo)網(wǎng)絡(luò)的無線來進(jìn)行入侵。這種情況如果調(diào)查人員對提取的IP進(jìn)行溯源，往往會最終定位在鄰居家或周圍其他無線AP。

例如早在2012年1月，一位匿名者成員John Borrell III，就曾入侵了鹽湖城和猶他州警察局的電腦系統(tǒng)。最終聯(lián)邦調(diào)查局通過追蹤，定位到了俄亥俄州托萊多的祝福圣禮教堂的Wi-Fi AP地址。黑客顯然是破解了教堂無線AP的密碼，然后利用該IP在互聯(lián)網(wǎng)上使用，以達(dá)到隱藏自己的目的。最終，聯(lián)邦調(diào)查局還是通過各種調(diào)查技術(shù)以及偵察工作找到了他。最終Borrell在聯(lián)邦監(jiān)獄被定罪，并被判處兩年有期徒刑。

在收繳了Borrell電腦后，取證人員可以通過檢查其系統(tǒng)注冊表來收集他此前連接過教會AP的證據(jù)。可以通過查看以下注冊表位置獲?。?/p>

 
 
 
 

  
  
  
  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
 
 
 
 

在以上位置我們可以找到機器連接到的無線接入點的GUID列表。我們點擊其中的任意一個，它都將為我們顯示一些關(guān)于無線的詳細(xì)信息，其中包括SSID名稱和以十六進(jìn)制表示的最后連接日期。

從以下截圖可以獲知，Borrell于2014年11月連接過SSID為“HolidayInnColumbia”的無線AP。

RecentDocs鍵

Windows注冊表會跟蹤用戶活動的大量信息。通常情況下，這些注冊表項旨在使Windows運行更加高效和順利。但對于調(diào)查取證人員來說，這些鍵值就好比是用戶或攻擊者活動的線路圖。

這些鍵值中其中有一個叫“RecentDocs”的鍵，可以通過文件擴展來跟蹤系統(tǒng)上使用或打開的最新文檔。我們可以在以下位置找到它：

 
 
 
 

  
  
  
  
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
 
 
 
 

如果你想查看用戶最近使用的Word文檔，那么我們可以在.doc或.docx擴展名下進(jìn)行查找，這取決于它們創(chuàng)建的Word文檔的版本(每個鍵可以容納最近10個文檔)。例如我們點擊.docx擴展的鍵，可以看到這里為我們列出了最近使用過的10個文檔。

當(dāng)我們點擊其中一個鍵時，它會顯示有關(guān)文檔的信息，如下所示。我們可以在十六進(jìn)制，左側(cè)和ASCII格式的右側(cè)查看文檔數(shù)據(jù)。從以下數(shù)據(jù)可以得知，該文件是一個Metasploit的課程大綱。

在某些時候攻擊者可能會上傳一個.tar文件，這將是一個非常好的證據(jù)。因為一般來說Windows機器上不應(yīng)該顯示一個.tar文件擴展名，所以我們可以對.tar鍵中的文件做進(jìn)一步的檢查，或許可以發(fā)現(xiàn)有關(guān)攻擊或攻擊者的蛛絲馬跡。

在民事或政策違規(guī)調(diào)查中，證據(jù)可能會在各種圖形文件擴展名中找到(例如.jpg，.gif或.png)。

TypedURLs鍵

當(dāng)用戶在Internet Explorer中輸入URL時，該值將被存儲在以下注冊表中：

 
 
 
 

  
  
  
  
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs
 
 
 
 

當(dāng)打開該鍵時，它會為我們列出用戶使用IE訪問的最后URL瀏覽記錄。在這些記錄中或許我們可以找到惡意軟件的來源，或在民事或政策違規(guī)類的調(diào)查中，獲知用戶正在看的內(nèi)容是什么。

鍵值將從urI1(最近的)~ urI25(之前的)。

IP地址

注冊表還跟蹤用戶接口的IP地址。請注意接口可能有多個，該注冊表項將跟蹤每個接口的IP地址及相關(guān)信息。

 
 
 
 

  
  
  
  
HKEY_LOCAL_MACHINE\System\Services\CurrentControlSet\services\Tcpip\Parameters\Interfaces
 
 
 
 

如下所示，我們可以找到分配給接口的IP地址，子網(wǎng)掩碼以及DHCP服務(wù)器租用IP的時間。這樣，我們就可以判斷嫌疑人在入侵或犯罪時是否使用了某個特定的IP。

啟動項在注冊表中的位置

作為一名取證人員，我們經(jīng)常需要找到哪些應(yīng)用程序或服務(wù)會在系統(tǒng)啟動時被啟動。因為攻擊者很可能會通過這種方式來啟動他們在目標(biāo)機器上種植的木馬程序，以與遠(yuǎn)程服務(wù)器建立連接。我們可以在以下位置找到該啟動項：

 
 
 
 

  
  
  
  
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
 
 
 
 

這些子項中指定的任何軟件/位置都將在每次系統(tǒng)啟動時啟動。Rootkit和其它惡意軟件通常會被放置在這里。

RunOnce啟動

如果攻擊者只是希望軟件在啟動時運行一次，則可以在此處設(shè)置子鍵。

 
 
 
 

  
  
  
  
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
 
 
 
 

啟動服務(wù)

下面的鍵列出了系統(tǒng)啟動時將會啟動的所有服務(wù)。如果鍵值設(shè)置為2，服務(wù)將自動啟動;如果設(shè)置為3，則必須手動啟動服務(wù);如果設(shè)置為4，則該服務(wù)被禁用。

 
 
 
 

  
  
  
  
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services
 
 
 
 

啟動遺留應(yīng)用程序

運行16位應(yīng)用程序時，列出的程序運行在：

 
 
 
 

  
  
  
  
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\WOW
 
 
 
 

特定用戶登錄時啟動

在以下鍵中，鍵值將在特定用戶登錄時運行。

 
 
 
 

  
  
  
  
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
 
 
 
 

注冊表中的存儲設(shè)備證據(jù)

攻擊者常常會使用Flash驅(qū)動器或硬盤驅(qū)動器進(jìn)行惡意攻擊，然后將其移除，以避免留下任何的證據(jù)。然而經(jīng)驗豐富的取證人員，仍然可以在注冊表中找到這些存儲設(shè)備的證據(jù)。

不同版本的Windows系統(tǒng)，注冊表可能也有所不同。一名專業(yè)的取證人員，需要了解不同版本間的差異。由于Windows 7目前仍然是使用最廣泛的操作系統(tǒng)，所以這里我將以Windows 7為例。

USB存儲設(shè)備

想象一下在某些場景中，攻擊者可能在你的電腦插入了一個USB設(shè)備，并拷貝走了你大量重要的數(shù)據(jù)文件。這時我們就可以通過以下鍵值，來查找USB存儲設(shè)備插入和使用的證據(jù)。

 
 
 
 

  
  
  
  
HK_Local_Machine\System\ControlSet00x\Enum\USBSTOR
 
 
 
 

展開USBSTOR可以查看到，所有曾經(jīng)連接過該系統(tǒng)的USB存儲設(shè)備列表。

在上面的截圖中，我圈出了一個可疑的USB設(shè)備。當(dāng)我們展開它時，它會顯示該設(shè)備的唯一標(biāo)識符。通過點擊此標(biāo)識符，我們可以找到有關(guān)設(shè)備的更多信息。

如上圖所示，當(dāng)我們點擊USB存儲標(biāo)識符時，它會在右側(cè)窗口中顯示全局唯一標(biāo)識符(GUID)，F(xiàn)riendlyName和硬件ID等。

掛載設(shè)備

如果攻擊者使用任何必須掛載的硬件設(shè)備來讀取或?qū)懭霐?shù)據(jù)(CD-ROM，DVD，硬盤驅(qū)動器，閃存驅(qū)動器等)，注冊表將記錄已掛載的設(shè)備。 此信息存儲在：

 
 
 
 

  
  
  
  
HKEY_LOCAL_MACHINE\System\MountedDevices
 
 
 
 

如下所示，當(dāng)我們點擊該鍵時，它為我們提供了一個很長的列表，列表中都是曾經(jīng)掛載過的設(shè)備。

如果我們需要獲取更多有關(guān)這些掛載設(shè)備的信息，我們可以簡單的點擊它，它將打開一個小的應(yīng)用程序，使我們能夠以ASCII讀取數(shù)據(jù)。如圖所示，該設(shè)備是Teac制造的IDE CD-ROM。

如果系統(tǒng)上沒有TEAC CD ROM，那么取證人員就知道他們需要找到這塊硬件才能找到進(jìn)一步的犯罪證據(jù)。

通過本文的學(xué)習(xí)，我們知道注冊表不僅僅是一個用于存儲Windows系統(tǒng)用戶，硬件和軟件的存儲配置信息的數(shù)據(jù)庫，更是計算機犯罪取證中的一個寶庫。想要成為一名合格的計算機取證人員，必須要熟練運用和掌握注冊表的相關(guān)知識。

新聞名稱：詳解Windows注冊表分析取證
網(wǎng)頁網(wǎng)址：http://m.5511xx.com/article/copjjsg.html