发现系统痕迹!RunMRU在Windows取证中的强大作用

admin 2024年11月6日10:07:09评论8 views字数 2046阅读6分49秒阅读模式

大家好,我是V浪。今天给大家带来一个Windows系统取证分析中的重要话题 - RunMRU。作为一名安全研究者,了解RunMRU不仅能帮助我们追踪用户行为,还能在应急响应中发现潜在的威胁痕迹。

什么是RunMRU?

我们先来个通俗的比喻:RunMRU就像是Windows系统中的一个"小本本",专门记录用户通过运行框(Win+R)执行过的命令。这就像餐厅会记录顾客最近点过的菜品一样,系统也会记住用户最近运行过的程序。

发现系统痕迹!RunMRU在Windows取证中的强大作用

技术细节

1. 注册表位置

在线分析位置:
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU

离线分析位置:
NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU

2. 数据结构

- MRUList:命令执行顺序的索引
- a,b,c,d...:具体的命令值
- 每个命令都有"1"后缀

取证价值

从安全分析的角度来看,RunMRU具有以下重要价值:

  1. 用户行为分析
- 了解用户常用程序
- 识别异常程序执行
- 追踪文件访问历史
  1. 应急响应
- 发现恶意程序执行痕迹
- 确定攻击初始路径
- 识别可疑命令执行
  1. 内网渗透痕迹
- 远程连接记录
- 网络映射历史
- 工具使用记录

实战案例

案例一:勒索病毒分析

发现可疑现象:
- RunMRU中出现base64编码的命令
- 临时目录下的可执行文件执行记录
- 可疑PowerShell命令

分析结论:
攻击者通过运行框执行了编码后的恶意载荷

案例二:内网渗透追踪

可疑痕迹:
- 出现多个mstsc.exe连接记录
- 网络共享访问记录
- 批处理文件执行历史

分析价值:
可以重建攻击者的横向移动路径

防守方建议

  1. 日常监控 1.1 监控RunMRU变化
reg query "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU"

💡 小贴士reg query是Windows系统中一个非常实用的注册表查询工具。具体用法如下

reg query <KeyPath> [/v ValueName | /ve] [/s] [/f Data] [/k] [/d] [/c] [/e]
/v ValueName # 查询特定的键值
/ve # 查询默认值
/s # 递归查询所有子项
/f # 搜索指定的数据
/k # 只搜索键名
/d # 只搜索数据
/c # 区分大小写搜索
/e # 精确匹配

1.2 设置审计策略

auditpol /set /category:"Object Access" /success:enable /failure:enable

💡 小贴士审计策略命令auditpol

auditpol                         # 审计策略管理工具
/set # 设置审计策略
/category:"Object Access" # 审计类别:对象访问
/success:enable # 记录成功的操作
/failure:enable # 记录失败的操作
  1. 定期清理
- 使用注册表编辑器手动清理
- 使用自动化脚本定期清理
- 利用组策略统一管理
  1. 安全加固
- 限制运行框使用权限
- 对敏感命令执行进行审计
- 建立命令白名单机制

取证技巧

  1. 在线分析
# 使用reg命令导出
reg export "HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU" runmru.reg

# 使用PowerShell分析
Get-ItemProperty -Path "HKCU:SoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU"
  1. 离线分析
- 提取NTUSER.DAT文件
- 使用取证工具分析
- 重建命令执行时间线

其他MRU列表

Windows系统中还有很多其他的MRU列表值得关注:

  1. Office MRU Office 2013-2024版本
# Word文档记录
HKCUSoftwareMicrosoftOffice16.0WordFile MRU

# Excel文件记录
HKCUSoftwareMicrosoftOffice16.0ExcelFile MRU

# PowerPoint文件记录
HKCUSoftwareMicrosoftOffice16.0PowerPointFile MRU
  • 记录最近打开的Office文档
  • 可能包含敏感文件访问记录
  • 有助于数据泄露调查
  1. 最近文件夹MRU
# 最近文件夹MRU
HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs

# 具体文件类型MRU子项
.doc # Word文档
.txt # 文本文件
.pdf # PDF文件
.jpg # 图片文件
等等...
  • 记录访问过的文件夹
  • 帮助追踪文件操作行为
  • 对取证分析很有价值

作为安全研究者,我们要善于利用这些系统自带的"记录本",它们往往能帮我们还原事件真相,找出攻击痕迹。

今天的分享就到这里,我是V浪,我们下期见!

原文始发于微信公众号(HW安全之路):发现系统痕迹!RunMRU在Windows取证中的强大作用

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月6日10:07:09
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   发现系统痕迹!RunMRU在Windows取证中的强大作用https://cn-sec.com/archives/3361133.html

发表评论

匿名网友 填写信息