详解Windows注册表分析取证

作者: anping 分类: 黑客攻防 发布时间: 2017-09-07 04:35 ė 6 详解Windows注册表分析取证已关闭评论

大少数都晓得windows零碎中有个叫注册表的东西,但却很少有人会去深化的理解它的作用以及如何对它停止操作。但是关于计算机取证人员来说注册表无疑是块宏大的宝藏。经过注册表取证人员能剖析出零碎发作了什麼,发作的工夫以及如何发作的等。在本文中我将爲大家详细引见Windows注册表的任务原理,以及如何对搜集用户留下的各类指纹信息。

什麼是注册表?

注册表是用于存储Windows零碎用户,硬件和软件的存储配相信息的数据库。虽然注册表是爲了配置零碎而设计的,但它可以跟踪用户的活动,衔接到零碎的设备,什麼工夫什麼软件被运用过等都将被记载在案。一切这些都可用于取证人员,剖析溯源用户的歹意或非歹意行爲。

蜂巢

在注册表中,有根文件夹。这些根文件夹被称爲蜂巢。 以下是5个注册表的配置单元:

HKEY_USERS:包含所有加载的用户配置文件
HKEYCURRENT_USER:当前登录用户的配置文件
HKEY_CLASSES_ROOT:包含所有已注册的文件类型、OLE等信息
HKEYCURRENT_CONFIG:启动时系统硬件配置文件
HKEYLOCAL_MACHINE:配置信息,包括硬件和软件设置

注册表构造

注册表由键、子键和值项构成,一个键就是分支中的一个文件夹,而子键就是这个文件夹中的子文件夹,子键异样是一个键。一个值项则是一个键的以后定义,由称号、数据类型以及分配的值组成。一个键可以有一个或多个值,每个值的称号各不相反,假如一个值的称号爲空,则该值爲该键的默许值。通常,值是0或1,意味着开或关,也可以包括通常以十六进制显示的更复杂的信息。

注册表构造

拜访注册表

在我们普通的windows零碎上,我们可以运用Windows内置的regedit适用顺序来拜访注册表。我们只需在左下角开端界面的搜索框内键入regedit,然后单击便可翻开我们的注册表编辑器。

拜访注册表

注册表信息取证价值

关于计算机取证人员来说注册表无疑是块宏大的宝藏。经过注册表取证人员能剖析出零碎发作了什麼,发作的工夫以及如何发作的等。在注册表中可以获取到的信息包括:

用户以及他们最后一次使用系统的时间
最近使用过的软件
挂载到系统的任何设备,包括闪存驱动器,硬盘驱动器,手机,平板电脑等的唯一标识符。
系统连接过的特定无线接入点
什么文件何时被访问过
列出在系统上完成的任何搜索等

注册表中的无线证据

许多黑客会经过攻破目的网络的无线来停止入侵。这种状况假如调查人员对提取的IP停止溯源,往往会最终定位在邻居家或四周其他无线AP。

例如早在2012年1月,一位匿名者成员John Borrell III,就曾入侵了盐湖城和犹他州警察局的电脑零碎。最终联邦调查局经过追踪,定位到了俄亥俄州托莱多的祝愿圣礼教堂的Wi-Fi AP地址。黑客显然是破解了教堂无线AP的密码,然后应用该IP在互联网上运用,以到达隐藏本人的目的。最终,联邦调查局还是经过各种调查技术以及侦查任务找到了他。最终Borrell在联邦监狱被定罪,并被判处两年有期徒刑。

在收缴了Borrell电脑后,取证人员可以经过反省其零碎注册表来搜集他此前衔接过教会AP的证据。可以经过检查以下注册表地位获取:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles 

在以上地位我们可以找到机器衔接到的无线接入点的GUID列表。我们点击其中的恣意一个,它都将爲我们显示一些关于无线的详细信息,其中包括SSID称号和以十六进制表示的最初衔接日期。

从以下截图可以获知,Borrell于2014年11月衔接过SSID爲“HolidayInnColumbia”的无线AP。

Borrell于2014年11月衔接过SSID爲“HolidayInnColumbia”的无线AP

RecentDocs键

Windows注册表会跟踪用户活动的少量信息。通常状况下,这些注册表项旨在使Windows运转愈加高效和顺利。但关于调查取证人员来说,这些键值就好比是用户或攻击者活动的线路图。

这些键值中其中有一个叫“RecentDocs”的键,可以经过文件扩展来跟踪零碎上运用或翻开的最新文档。我们可以在以下地位找到它:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 

假如你想检查用户最近运用的Word文档,那麼我们可以在.doc或.docx扩展名下停止查找,这取决于它们创立的Word文档的版本(每个键可以包容最近10个文档)。例如我们点击.docx扩展的键,可以看到这里爲我们列出了最近运用过的10个文档。

当我们点击其中一个键时,它会显示有关文档的信息,如下所示。我们可以在十六进制,左侧和ASCII格式的右侧检查文档数据。从以下数据可以得知,该文件是一个Metasploit的课程纲要。

在某些时分攻击者能够会上传一个.tar文件,这将是一个十分好的证据。由于普通来说Windows机器上不应该显示一个.tar文件扩展名,所以我们可以对.tar键中的文件做进一步的反省,或答应以发现有关攻击或攻击者的蛛丝马迹。

在民事或政策违规调查中,证据能够会在各种图形文件扩展名中找到(例如.jpg,.gif或.png)。

TypedURLs键

当用户在Internet Explorer中输出URL时,该值将被存储在以下注册表中:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs 

当翻开该键时,它会爲我们列出用户运用IE拜访的最初URL阅读记载。在这些记载中或许我们可以找到歹意软件的来源,或在民事或政策违规类的调查中,获知用户正在看的内容是什麼。

TypedURLs键

键值将从urI1(最近的)~ urI25(之前的)。

IP地址

注册表还跟踪用户接口的IP地址。请留意接口能够有多个,该注册表项将跟踪每个接口的IP地址及相关信息。

HKEY_LOCAL_MACHINE\System\Services\CurrentControlSet\services\Tcpip\Parameters\Interfaces

如下所示,我们可以找到分配给接口的IP地址,子网掩码以及DHCP效劳器租用IP的工夫。这样,我们就可以判别嫌疑人在入侵或立功时能否运用了某个特定的IP。

IP地址

启动项在注册表中的地位

作爲一名取证人员,我们常常需求找到哪些使用顺序或效劳会在零碎启动时被启动。由于攻击者很能够会经过这种方式来启动他们在目的机器上种植的木马顺序,以与近程效劳器树立衔接。我们可以在以下地位找到该启动项:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 

这些子项中指定的任何软件/地位都将在每次零碎启动时启动。Rootkit和其它歹意软件通常会被放置在这里。

RunOnce启动

假如攻击者只是希望软件在启动时运转一次,则可以在此处设置子键。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 

启动效劳

上面的键列出了零碎启动时将会启动的一切效劳。假如键值设置爲2,效劳将自动启动;假如设置爲3,则必需手动启动效劳;假如设置爲4,则该效劳被禁用。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services 

启动遗留使用顺序

运转16位使用顺序时,列出的顺序运转在:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\WOW 

特定用户登录时启动

在以下键中,键值将在特定用户登录时运转。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run 

注册表中的存储设备证据

攻击者经常会运用Flash驱动器或硬盘驱动器停止歹意攻击,然后将其移除,以防止留下任何的证据。但是经历丰厚的取证人员,依然可以在注册表中找到这些存储设备的证据。

不同版本的Windows零碎,注册表能够也有所不同。一名专业的取证人员,需求理解不同版本间的差别。由于Windows 7目前依然是运用最普遍的操作零碎,所以这里我将以Windows 7爲例。

USB存储设备

想象一下在某些场景中,攻击者能够在你的电脑拔出了一个USB设备,并拷贝走了你少量重要的数据文件。这时我们就可以经过以下键值,来查找USB存储设备拔出和运用的证据。

HK_Local_Machine\System\ControlSet00x\Enum\USBSTOR 

展开USBSTOR可以检查到,一切已经衔接过该零碎的USB存储设备列表。

在下面的截图中,我圈出了一个可疑的USB设备。当我们展开它时,它会显示该设备的独一标识符。经过点击此标识符,我们可以找到有关设备的更多信息。

如上图所示,当我们点击USB存储标识符时,它会在右侧窗口中显示全局独一标识符(GUID),FriendlyName和硬件ID等。

挂载设备

假如攻击者运用任何必需挂载的硬件设备来读取或写入数据(CD-ROM,DVD,硬盘驱动器,闪存驱动器等),注册表将记载已挂载的设备。 此信息存储在:

HKEY_LOCAL_MACHINE\System\MountedDevices 

如下所示,当我们点击该键时,它爲我们提供了一个很长的列表,列表中都是已经挂载过的设备。

假如我们需求获取更多有关这些挂载设备的信息,我们可以复杂的点击它,它将翻开一个小的使用顺序,使我们可以以ASCII读取数据。如图所示,该设备是Teac制造的IDE CD-ROM。

假如零碎上没有TEAC CD ROM,那麼取证人员就晓得他们需求找到这块硬件才干找到进一步的立功证据。

经过本文的学习,我们晓得注册表不只仅是一个用于存储Windows零碎用户,硬件和软件的存储配相信息的数据库,更是计算机立功取证中的一个宝库。想要成爲一名合格的计算机取证人员,必需要纯熟运用和掌握注册表的相关知识。

本文出自Anpingblog,转载时请注明出处及相应链接。

本文永久链接: http://hezhaoyu.com/archives/509

0
Ɣ回顶部