一.概述
注册表(英文:Registry)是微软Windows操作系统及其应用程序中一个重要的层次数据库,用于存储系统和应用程序的配置信息。
早在Windows 3.0引入OLE技术的时候,注册表就已经出现了。但从Windows 95开始,注册表才真正成为Windows用户经常接触的内容,并在后续的操作系统中沿用至今。后来推出的Windows NT是第一个在系统级广泛使用注册表的操作系统。(通过***)
第二,登记处的结构
注册表由一个hive文件组成,该文件由键(或“键”)、子项(子键)和值(值)组成。请参考本文:regf/Windows注册表文件格式规范。MD at ***ster msuhanov/regf github了解Windows注册表的hive格式的详细信息。
注册表的结构是树形结构。键(或“键”)是一个节点,子键是这个节点的子节点,子键也是键。键的一个属性称为值(value item),由名称、类型、数据类型和数据组成。一个键可以有多个值,每个值都有不同的名称。如果值名为空,则它是键的默认值。
您可以打开注册表编辑器来查看其结构:
注册表有五个主键,即主要分支,即:
HKEY_CLASSES_ROOT:包含启动应用程序所需的全部信息,包括扩展名,应用程序与文档之间的关系,驱动程序名,DDE和OLE信息,类ID编号和应用程序与文档的图标等。HKEY_CURRENT_USER:包含当前用户的配置信息,比如环境变量,桌面设置等HKEY_LOCAL_MACHINE:包括安装在计算机上的硬件和软件的信息HKEY_USERS:包含计算机的所有用户配置信息HKEY_CURRENT_CONFIG:当前硬件的配置信息。
有以下类型的注册表数据:
REG_SZ:字符串类型,文本字符串REG_BINARY:二进制类型,不定长度的二进制值,以16进制形式显示REG_DWORD:双字,32 位的二进制值,显示为 8 位的十六进制值REG_MULTI_SZ:多字符串,有多个文本值的字符串,字符串间用 nul 分隔、结尾两个 nulREG_EXPAND_SZ:可扩展字符串,包含环境变量的字符串
注册表中的时间格式如下:
文件时间:***位值,表示100纳秒的时间间隔(从1601年1月1日开始,UTC)
Unix: 32位值,表示秒的间隔(从UTC 1970年1月1日开始)。
DOS日期/时间:两个16位值,详细记录当地时间和年、月、日。
第三,注册表的存储
在Windows NT操作系统中,注册表被分成几个文件,这些文件称为注册表配置单元,每个文件称为一个配置单元。
主要配置单元包括:
SYSTEM:对应的注册表分支为HKEY_LOCAL_MACHINESYSTEM,对应的存储文件是WindowsSystem32configSYSTEM,其作用是存储计算机硬件和系统的信息。NTUSER.DAT:对应的注册表分支是HKEY_CURRENT_USER,存储在用户目录下,与其他注册表文件是分开的,主要用于存储用户的配置信息。SAM:分支是HKEY_LOCAL_MACHINESAM,存储在C:WindowsSystem32configSAM文件中,保存了用户的密码信息。SECURITY:对应的分支HKEY_LOCAL_MACHINESECURITY,存储在C:WindowsSystem32configSECURITY文件中,保存了安全性设置信息。SOFTWARE:分支是HKEY_LOCAL_MACHINESOFTWARE,文件存储在C:WindowsSystem32configSOFTWARE中,保存安装软件的信息。
修改注册表的主要方法有:1。使用Windows提供的注册表编辑器:% systemroot % regedit.exe;2.使用reg命令,可以添加、删除和检查注册表,导入和导出注册表文件(reg文件),导入和导出或加载配置单元(RegHive)等。3.使用reg文件,用户可以通过注册表编辑器将一些注册表项导出到reg文件,否则他们可以导入reg文件来恢复或修改这些项。
此外,为了防止注册表错误和损坏,注册表配置单元还包括注册的事务日志文件和注册表的备份文件。事务文件名与注册表文件一致,并在同一路径下,但后缀不同。事务文件的后缀是。日志,多个日志后缀将显示LOG1和LOG2。(如果您想查看这些日志文件,您需要打开文件夹选项并取消选中“隐藏受保护的操作系统文件”)
备份文件位于WindowsSystem32configRegBack路径中。
在将数据写入主文件之前,Hive writer将首先将数据存储在事务日志文件中。如果写入事务日志时出现错误(如系统崩溃),主文件不会受到影响。如果在写入主文件时出现错误,可以通过事务日志中包含的数据来恢复主文件。
四。获取和分析配置单元
要获取配置单元,可以通过reg save命令创建注册表配置单元的副本。(在管理员权限的命令提示符下执行)
C:WINDOWSsystem32>reg save hklmsam c:sam操作成功完成。C:WINDOWSsystem32>
对Hive的分析可以使用开源软件RegRipper,这是一个用perl编写的开源工具。它可以从注册表中提取和解析所有类型的信息(键、值、数据),以便进行取证分析。
RegRipper项目地址:
https://github.com/keydet89/gripper3.0
打开RegRipper软件,选择Hive文件,设置报告存储路径,选择Profile,然后单击Rip。
它将创建两个文件,一个是日志文件,另一个是报告文件。
打开SAM hive的分析报告文件,可以看到用户和用户组的详细信息。
五、取证实战动词 (verb的缩写)取证和实战
来源:Cynet应急响应挑战
标题:波德瑞克说,2020年2月3日,午餐时间(中午12点左右),一个恶意的USB设备***入他的电脑。他还提到,他看到他的一个同事Theon G手里拿着一个USB设备离开他的办公室。但席恩声称他进入办公室是为了拜访艾瑞亚(与波德瑞克在同一间办公室)。看到艾瑞亚不在,他离开了办公室。波德瑞克没有锁屏的习惯。他怀疑席恩趁他不在时窃取了他的数据。
小贴士:1。检查波德瑞克的电脑;2.确定2020年2月3日是否有USB设备连接到波德瑞克的PC?;3.提交可疑USB设备的序列号/UID
标题提供的文件是几个Hive文件。
这些文件所代表的内容在前面的小节中已经介绍过了,Amcache.hve除外,它只在Win8及更高版本的系统中可用。它存储与执行程序相关的信息。当用户执行某些操作时(如运行基于主机的应用程序、安装新的应用程序或从外部设备运行便携式应用程序),它会记录与程序相关的信息:如程序创建时间、修改时间、名称、描述、程序制造商和版本、程序执行路径、SHA-1哈希值等。即使程序从系统中删除,这些信息仍然存在。
回到正题,我们需要调查USB使用痕迹。根据前面的知识,我们需要对Hive文件系统进行分析。
打开RegRipper工具,加载提供的系统文件,并导出分析报告。
打开报告文件,通过搜索USBSTOR(该键(systemcurrentcontrolsetenumu***stor)存储曾经连接到系统的任何USB设备的产品信息和设备ID),可以找到USB设备的注册表信息。
经过查找筛选,终于在2020年12: 12: 32找到了一个插在电脑上的USB设备,序列号/UID为4C530000281008116284。
参考资料:
注册表配置单元–Win32应用程序| Microsoft Docs https://Docs . Microsoft . com/en-us/windows/win32/sysinfo/registry-hives
本文来自热恋少女投稿,不代表舒华文档立场,如若转载,请注明出处:https://www.chinashuhua.cn/24/534727.html
微信扫一扫 
