Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动

  • A+
所属分类:安全文章

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动

本文的目的是让你深入了解Windows注册表及其所包含的丰富信息。如今,对于大多数管理员和取证分析师而言,注册表的信息含有丰富的可利用信息。

除了配置信息外,Windows注册表还保存有关最近访问的文件的信息和大量关于用户活动的信息。

事实是,注册表对于管理员和取证调查人员而言都是名副其实的信息宝藏。

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动
什么是注册表?

如果你还记得DOS和Windows的早期版本(3.1、3.11等等),系统的配置信息(驱动程序、设置) 主要由几个文件管理,尤其是autoexec.bat,config.sys,win.ini (在Windows上)和system.ini。

这些文件中的各种设置确定了要加载的程序以及系统的外观和对用户输入的响应,后来的Windows版本将这些文件替换为注册表,该注册表是一个中央层次数据库,用于维护应用程序、硬件设备和用户的配置设置。

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动
Windows注册表结构的外观介绍

当管理员或取证人员期望打开Regedit.exe时,他会看到带有五个根文件夹或“hive”的树状结构。hive是基于Hadoop的一个数据仓库工具,用来进行数据提取、转化、加载,这是一种可以存储、查询和分析存储在Hadoop中的大规模数据的机制。hive数据仓库工具能将结构化的数据文件映射为一张数据库表,并提供SQL查询功能,能将SQL语句转变成MapReduce任务来执行。Hive的优点是学习成本低,可以通过类似SQL语句实现快速MapReduce统计,使MapReduce变得更加简单,而不必开发专门的MapReduce应用程序。hive十分适合对数据仓库进行统计分析。

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动

HKEY_CLASSES_ROOT hive包含了使用哪个应用程序打开系统中各种文件的配置信息。

HKEY_CURRENT_USER hive是当前登录用户的激活的、加载的用户配置文件。

HKEY_LOCAL_MACHINE hive包含了大量的系统配置信息,包括硬件设置和软件设置。

HKEY_USERS hive包含了该系统所有活跃加载的用户配置文件。

HKEY_CURRENT_CONFIG hive包含系统启动时使用的硬件配置文件。

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动
注册表检查

MRU列表:

整个或“最近使用过的”列表中的MRU包含由于用户执行的特定操作而产生的条目,在各个注册表项中,有许多MRU LIS。

注册表会保留这些项目列表,以备将来用户返回使用。这类似于历史记录和cookie对Web浏览器的作用。

这个项的位置是HKEY_CURRENT_USERsoftwaremicrosoftwindowscurrentversionExplorerRunMRU,其中包含:

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动

借助RunMRU项提供的信息,检查人员可以更好地了解他们正在调查的用户以及正在使用的应用程序。在上图中,您可以看到用户已经打开了cmd,Notepad,MSPaint等。

USB设备:

只要将设备连接到通用串行总线(USB),就会查询驱动程序,并将设备的信息存储在注册表中(Thumb Drive)。

该项存储产品的内容和曾经连接到系统的任何USB设备的设备ID值。

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动

INTERNET EXPLORER:

Internet Explorer是Windows操作系统自带的Web浏览器,与许多应用程序一样,它在数据存储中广泛地利用了注册表。

Internet Explorer将其数据存储在HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerTypedURLs中。

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动
附属硬件:

导航到以下项HKEY_LOCAL_MACHINESYSTEM|MountedDevices,此信息对取证人员可能有用,因为它表明操作系统已识别出任何已连接的存储设备。

如果检查员注意到物理连接的设备与此处报告的设备之间存在差异,则可能表明某些设备在获取证据之前已被移除。

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动
恶意软件:

导航到以下项HKEY_CURRENT_USER Software ,对于取证分析人员而言,此信息将非常有用,因为它可能会看到黑客使用了CyberGhost Vpn,Cyberghost VPN是一种部分免费的VPN服务, 提供各种服务 :匿名冲浪或托管,解锁流媒体和网站,保护一个人的互联网连接免受篡改,同时使用不熟悉的Wi-Fi网络,甚至自定义一个设置来完成任何其他VPN你可能梦想的任务。

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动
最近的应用程序:

导航到下面这个项将给出最后访问的应用程序列表HKEY_CURRENT_USERSOFTWAREMicrosoftCurrentversionSearchRecentApps的信息。

在这个用户中有大量的应用程序列表,其中一个就是Vmworkstation。

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动

重要的信息可以通过进行高效和有效的取证分析来获得,因此,你可以通过调查来发现环境中正在进行的恶意活动。

参考及来源:https://gbhackers.com/windows-registry-analysis-tracking-everything-you-do-on-the-system/

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动

Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动

本文始发于微信公众号(嘶吼专业版):Windows注册表取证分析:跟踪在系统中执行的每个程序进程活动

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: