注册表中的证据

admin
admin
admin
138674
文章
114
评论
2022年9月28日13:48:00评论18 views字数 2662阅读8分52秒阅读模式

前置知识


注册表的配置单元:

HKEY_USERS:包含所有加载的用户配置文件

HKEYCURRENT_USER:当前登录用户的配置文件

HKEY_CLASSES_ROOT:包含所有已注册的文件类型、OLE等信息

HKEYCURRENT_CONFIG:启动时系统硬件配置文件

HKEYLOCAL_MACHINE:配置信息,包括硬件和软件设置

存放位置:

HKLMBCD: %SystemRoot%system32configBCD-Template

HKLMSYSTEM: %SystemRoot%system32configSYSTEM

HKLMSAM: %SystemRoot%system32configSAM

HKLMSECURITY:%SystemRoot%system32config SECURITY

时间种类:

FILETIME:64位值,代表间隔多少个单位为100纳秒的时间(从UTC1601年1月1日开始)

Unix Time:32位值,代表间隔多少秒(从UTC1970年1月1日开始)。

DOS Date/Time:两个16位值,详细记录了当地时间和年月日。

数据类型:

REG_SZ:字符串类型,文本字符串

REG_BINARY:二进制类型,不定长度的二进制值,以16进制形式显示

REG_DWORD:双字,32 位的二进制值,显示为 8 位的十六进制值

REG_MULTI_SZ:多字符串,有多个文本值的字符串,字符串间用 nul 分隔、结尾两个 nul

REG_EXPAND_SZ:可扩展字符串,包含环境变量的字符串


注册表中的证据


启动项:

通过Autoruns我们可以获得如下:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun HKLMSYSTEMCurrentControlSetControlSafeBootAlternateShell HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun

HKLMSOFTWAREMicrosoftActive SetupInstalled Components

HKLMSOFTWAREWow6432NodeMicrosoftActive SetupInstalled Components

HKLMSOFTWAREClassesProtocolsFilter

HKLMSOFTWAREClassesProtocolsHandler

HKCUSoftwareClasses*ShellExContextMenuHandlers

HKLMSoftwareClassesFolderShellExDragDropHandlers

HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellIconOverlayIdentifiers

HKLMSoftwareWow6432NodeMicrosoftWindowsCurrentVersionExplorerShellIconOverlayIdentifiers

HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects

HKLMSoftwareWow6432NodeMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects

HKLMSoftwareWow6432NodeMicrosoftInternerExplorerExtensions

HKLMSystemCurrentControlSetServices

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionFont Drivers

HKCUSOFTWAREClassesHtmlfileShellOpenCommand(Default) HKLMSystemCurrentControlSetControlSession ManagerKnownDlls

HKLMSystemCurrentControlSetServicesWinSock2ParametersProtocol_Catalog9Catalog_Entries

HKLMSystemCurrentControlSetServicesWinSock2ParametersNameSpace_Catalog5Catalog_Entries64

HKLMSYSTEMCurrentControlSetControlNetworkProviderOrder HKLMSoftwareMicrosoftOfficeOutlookAddins HKLMSoftwareMicrosoftOfficeExcelAddins

HKLMSoftwareWow6432NodeMicrosoftOfficeExcelAddins HKLMSoftwareMicrosoftOfficePowerPointAddins

HKLMSoftwareWow6432NodeMicrosoftOfficePowerPointAddins HKLMSoftwareMicrosoftOfficeWordAddins

HKLMSoftwareWow6432NodeMicrosoftOfficeWordAddins

注册表中的证据


无线证据:

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkListProfiles

时间、编号

注册表中的证据


最近访问文件:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs

注册表中的证据


USB设备:

HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSB

注册表中的证据


注册表中的证据


网络相关:

IP地址,子网掩码、DHCP服务器租用IP的时间HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces

注册表中的证据


访问记录:

HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerTypedURLs

注册表中的证据


挂载设备:

HKEY_LOCAL_MACHINESystemMountedDevices

注册表中的证据


注册表中的证据

原文始发于微信公众号(哆啦安全):注册表中的证据

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年9月28日13:48:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   注册表中的证据https://cn-sec.com/archives/1321088.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息