大年夜多半都知道windows体系中有个叫注册表的器械，但却很少有人会去深刻的懂得它的感化以及若何对它进行操作。然而对于计算机取证人员来说注册表无疑是块巨大年夜的宝藏。经由过程注册表取证人员能分析出体系产生了什么，产生的时光以及若何产生的等。在本文中我将为大年夜家具体介绍Windows注册表的工作道理，以及若何对收集用户留下的复荡蚋纹信息。

什么是注册表?

注册表是用于存储Windows体系用户，硬件和软件的存储设备信息的数据库。固然注册表是为了设备体系而设计的，但它可以跟踪用户的晃荡，连接到体系的设备，什么时光什么软件被应用过等都将被记录在案。所有这些都可用于取证人员，分析溯源竽暌姑户的恶意或非恶意行动。

蜂巢

在注册表中，有根文件夹。这些根文件夹被称为蜂巢。 以下是5个注册表的设备单位：

• HKEY_USERS：包含所有加载的用户设备文件
• HKEYCURRENT_USER：当前登录用户的设备文件
• HKEY_CLASSES_ROOT：包含所有已注册的文件类型、OLE等信息
• HKEYCURRENT_CONFIG：启动时体系硬件设备文件
• HKEYLOCAL_MACHINE：设备信息，包含硬件和软件设置

注册表构造

注册表由键、子键和值项构成，一个键就是分支中的一个文件夹，而子键就是这个文件夹中的子文件夹，子键同样是一个键。一个值项则是一个键的当前定义，由名称、数据类型以及分派的值构成。一个键可以有一个或多个值，每个值的名称各不雷同，如不雅一个值的名称为空，则该值为该键的默认值。平日，值是0或1，意味着开或关，也可以包含平日以十六进制显示的更复杂的信息。

拜访注册表

在我们通俗的windows体系上，我们可以应用Windows内置的regedit实用法度榜样来拜访注册表。我们只需在左下角开端界面的搜刮框内键入regedit，然后单击便可打开我们的注册表编辑器。

注册表信息取证价值

对于计算机取证人员来说注册表无疑是块巨大年夜的宝藏。经由过程注册表取证人员能分析出体系产生了什么，产生的时光以及若何产生的等。在注册表中可以获取到的信息包含：

• 用户以及他们最后一次应用体系的时光
• 比来应用过的软件
• 挂载到体系的任何设备，包含闪存驱动器，硬盘驱动器棘手机，平板电脑等的独一标识符。
• 系统连接过的特定无线接入点
• 什愦文件何时被拜访过
• 列出在体系上完成的任何搜刮等

注册表中的无线证据

很多黑客会经由过程攻破目标收集的无线来进行入侵。这种情况如不雅查询拜访人员对提取的IP进行溯源，往往会最终定位在邻居家或四周其他无线AP。

例如早在2012年1月，一位匿名者成员John Borrell III，就曾入侵了盐湖城和犹他州警察局的电脑体系。最终联邦查询拜访局经由过程追踪，定位到了俄亥俄州托莱多的祝福圣礼教堂的Wi-Fi AP地址。黑客显然是破解了教堂无线AP的暗码，然后应用该IP在互联网上应用，以达到隐蔽本身的目标。最终，联邦查询拜访局照样经由过程各类查询拜访技巧以及侦查工作找到了他。最终Borrell在联邦监牢被入罪，并被判处两年有期徒刑。

在收缴了Borrell电脑后，取证人员可以经由过程检查其体系注册表来收集他此前连接过教会AP的证据。可以经由过程查看以下注册表地位获取：

在以上地位我们可以找到机械连接到的无线接入点的GUID列表。我们点击个中的随便率性一?，它都将为我们显示一些关于无线的具体信息，个中包含SSID名称和以十六进制表示的最后连接日期。

当我们点击个一一个键时，它会显示有关文档的信息，如下所示。我们可以在十六进制，左侧和ASCII格局的右侧查看文档数据。大年夜以下数据可以得知，该文件是一个Metasploit的课程大年夜纲。

大年夜以下截图可以获知，Borrell于2014年11月连接过SSID为“HolidayInnColumbia”的无线AP。

如下所示，当我们点击该键时，它为我们供给了一个很长的列表，列表中都是曾经挂载过的设备。

Windows注册表会跟踪用户晃荡的大年夜量信息。平日情况下，这些注册表项旨在使Windows运行加倍高效温柔利。但对于查询拜访取证人员来说，这些键值就比如是用户或进击者晃荡的线路图。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs 

在某些时刻进击者可能会上传一个.tar文件，这将是一个异常好的证据。因为一般来说Windows机械上不该该显示一个.tar文件扩大名，所以我们可以对.tar键中的文件做进一步的检查，或许可以发明有关进击或进击者的蛛丝马迹。

　　推荐阅读

　　HTML5音频API Web Audio

此文介绍HTML5音频API的重要框架和工作流程，因为音频处理模块很多，是以只简单介绍几种音频处理模块，并经由过程例子来展示效不雅。后续会介绍应用HTML5音频API实现的项目，迎接大年夜家>>>详细阅读

本文标题：详解Windows注册表分析取证

地址：http://www.17bianji.com/lsqh/36632.html

 1/2    1