注册表中的证据

前置知识

注册表的配置单元：

HKEY_USERS：包含所有加载的用户配置文件

HKEYCURRENT_USER：当前登录用户的配置文件

HKEY_CLASSES_ROOT：包含所有已注册的文件类型、OLE等信息

HKEYCURRENT_CONFIG：启动时系统硬件配置文件

HKEYLOCAL_MACHINE：配置信息，包括硬件和软件设置

存放位置：

HKLMBCD: %SystemRoot%system32configBCD-Template

HKLMSYSTEM: %SystemRoot%system32configSYSTEM

HKLMSAM: %SystemRoot%system32configSAM

HKLMSECURITY:%SystemRoot%system32config SECURITY

时间种类：

FILETIME：64位值，代表间隔多少个单位为100纳秒的时间（从UTC1601年1月1日开始）

Unix Time：32位值，代表间隔多少秒（从UTC1970年1月1日开始）。

DOS Date/Time：两个16位值，详细记录了当地时间和年月日。

数据类型:

REG_SZ：字符串类型，文本字符串

REG_BINARY：二进制类型，不定长度的二进制值，以16进制形式显示

REG_DWORD：双字，32 位的二进制值，显示为 8 位的十六进制值

REG_MULTI_SZ：多字符串，有多个文本值的字符串，字符串间用 nul 分隔、结尾两个 nul

REG_EXPAND_SZ:可扩展字符串，包含环境变量的字符串

注册表中的证据

启动项：

通过Autoruns我们可以获得如下:

HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun HKLMSYSTEMCurrentControlSetControlSafeBootAlternateShell HKLMSOFTWAREWow6432NodeMicrosoftWindowsCurrentVersionRun

HKLMSOFTWAREMicrosoftActive SetupInstalled Components

HKLMSOFTWAREWow6432NodeMicrosoftActive SetupInstalled Components

HKLMSOFTWAREClassesProtocolsFilter

HKLMSOFTWAREClassesProtocolsHandler

HKCUSoftwareClasses*ShellExContextMenuHandlers

HKLMSoftwareClassesFolderShellExDragDropHandlers

HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerShellIconOverlayIdentifiers

HKLMSoftwareWow6432NodeMicrosoftWindowsCurrentVersionExplorerShellIconOverlayIdentifiers

HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects

HKLMSoftwareWow6432NodeMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects

HKLMSoftwareWow6432NodeMicrosoftInternerExplorerExtensions

HKLMSystemCurrentControlSetServices

HKLMSOFTWAREMicrosoftWindows NTCurrentVersionFont Drivers

HKCUSOFTWAREClassesHtmlfileShellOpenCommand(Default) HKLMSystemCurrentControlSetControlSession ManagerKnownDlls

HKLMSystemCurrentControlSetServicesWinSock2ParametersProtocol_Catalog9Catalog_Entries

HKLMSystemCurrentControlSetServicesWinSock2ParametersNameSpace_Catalog5Catalog_Entries64

HKLMSYSTEMCurrentControlSetControlNetworkProviderOrder HKLMSoftwareMicrosoftOfficeOutlookAddins HKLMSoftwareMicrosoftOfficeExcelAddins

HKLMSoftwareWow6432NodeMicrosoftOfficeExcelAddins HKLMSoftwareMicrosoftOfficePowerPointAddins

HKLMSoftwareWow6432NodeMicrosoftOfficePowerPointAddins HKLMSoftwareMicrosoftOfficeWordAddins

HKLMSoftwareWow6432NodeMicrosoftOfficeWordAddins

无线证据：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionNetworkListProfiles

时间、编号

最近访问文件：

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs

USB设备：

HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSB

网络相关：

IP地址，子网掩码、DHCP服务器租用IP的时间HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesTcpipParametersInterfaces

访问记录：

HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerTypedURLs

挂载设备：

HKEY_LOCAL_MACHINESystemMountedDevices

原文始发于微信公众号（哆啦安全）：注册表中的证据