大家好,我是V浪。今天给大家带来一个Windows系统取证分析中的重要话题 - RunMRU。作为一名安全研究者,了解RunMRU不仅能帮助我们追踪用户行为,还能在应急响应中发现潜在的威胁痕迹。
什么是RunMRU?
我们先来个通俗的比喻:RunMRU就像是Windows系统中的一个"小本本",专门记录用户通过运行框(Win+R)执行过的命令。这就像餐厅会记录顾客最近点过的菜品一样,系统也会记住用户最近运行过的程序。
技术细节
1. 注册表位置
在线分析位置:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU
离线分析位置:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU
2. 数据结构
- MRUList:命令执行顺序的索引
- a,b,c,d...:具体的命令值
- 每个命令都有"1"后缀
取证价值
从安全分析的角度来看,RunMRU具有以下重要价值:
-
用户行为分析
- 了解用户常用程序
- 识别异常程序执行
- 追踪文件访问历史
-
应急响应
- 发现恶意程序执行痕迹
- 确定攻击初始路径
- 识别可疑命令执行
-
内网渗透痕迹
- 远程连接记录
- 网络映射历史
- 工具使用记录
实战案例
案例一:勒索病毒分析
发现可疑现象:
- RunMRU中出现base64编码的命令
- 临时目录下的可执行文件执行记录
- 可疑PowerShell命令
分析结论:
攻击者通过运行框执行了编码后的恶意载荷
案例二:内网渗透追踪
可疑痕迹:
- 出现多个mstsc.exe连接记录
- 网络共享访问记录
- 批处理文件执行历史
分析价值:
可以重建攻击者的横向移动路径
防守方建议
-
日常监控 1.1 监控RunMRU变化
reg query "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU"
💡 小贴士reg query
是Windows系统中一个非常实用的注册表查询工具。具体用法如下
reg query <KeyPath> [/v ValueName | /ve] [/s] [/f Data] [/k] [/d] [/c] [/e]
/v ValueName # 查询特定的键值
/ve # 查询默认值
/s # 递归查询所有子项
/f # 搜索指定的数据
/k # 只搜索键名
/d # 只搜索数据
/c # 区分大小写搜索
/e # 精确匹配
1.2 设置审计策略
auditpol /set /category:"Object Access" /success:enable /failure:enable
💡 小贴士审计策略命令auditpol
auditpol # 审计策略管理工具
/set # 设置审计策略
/category:"Object Access" # 审计类别:对象访问
/success:enable # 记录成功的操作
/failure:enable # 记录失败的操作
-
定期清理
- 使用注册表编辑器手动清理
- 使用自动化脚本定期清理
- 利用组策略统一管理
-
安全加固
- 限制运行框使用权限
- 对敏感命令执行进行审计
- 建立命令白名单机制
取证技巧
-
在线分析
# 使用reg命令导出
reg export "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU" runmru.reg
# 使用PowerShell分析
Get-ItemProperty -Path "HKCU:SoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU"
-
离线分析
- 提取NTUSER.DAT文件
- 使用取证工具分析
- 重建命令执行时间线
其他MRU列表
Windows系统中还有很多其他的MRU列表值得关注:
-
Office MRU Office 2013-2024版本
# Word文档记录
HKCUSoftwareMicrosoftOffice16.0WordFile MRU
# Excel文件记录
HKCUSoftwareMicrosoftOffice16.0ExcelFile MRU
# PowerPoint文件记录
HKCUSoftwareMicrosoftOffice16.0PowerPointFile MRU
-
记录最近打开的Office文档 -
可能包含敏感文件访问记录 -
有助于数据泄露调查
-
最近文件夹MRU
# 最近文件夹MRU
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs
# 具体文件类型MRU子项
.doc # Word文档
.txt # 文本文件
.pdf # PDF文件
.jpg # 图片文件
等等...
-
记录访问过的文件夹 -
帮助追踪文件操作行为 -
对取证分析很有价值
作为安全研究者,我们要善于利用这些系统自带的"记录本",它们往往能帮我们还原事件真相,找出攻击痕迹。
今天的分享就到这里,我是V浪,我们下期见!
原文始发于微信公众号(HW安全之路):发现系统痕迹!RunMRU在Windows取证中的强大作用
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论