Windows注册表取证
Windows注册表取证
Windows注册表是系统配置信息的核心数据库,包含了大量对数字取证有重要价值的数据。通过对注册表的深入分析,调查人员可以重建用户活动、追踪设备使用、识别恶意软件行为。
一、注册表基础结构
1.1 注册表Hive
注册表由多个Hive(配置单元)组成,每个Hive存储特定类型的配置信息:
| Hive名称 | 文件路径 | 存储内容 |
|---|---|---|
| HKLM\SAM | %SystemRoot%\System32\config\SAM | 用户账户数据库 |
| HKLM\SYSTEM | %SystemRoot%\System32\config\SYSTEM | 系统配置信息 |
| HKLM\SOFTWARE | %SystemRoot%\System32\config\SOFTWARE | 已安装软件信息 |
| HKLM\SECURITY | %SystemRoot%\System32\config\SECURITY | 安全策略信息 |
| HKU\DEFAULT | %SystemRoot%\System32\config\default | 默认用户配置 |
| NTUSER.DAT | %UserProfile%\ | 每个用户的配置 |
| UsrClass.dat | %UserProfile%\AppData\Local\Microsoft\Windows\ | 用户类注册信息 |
1.2 注册表键与值
- 键(Key):类似于文件系统中的文件夹
- 值(Value):键下的数据项,包含名称、类型和数据
- 常见值类型:REG_SZ(字符串)、REG_DWORD(整数)、REG_BINARY(二进制)、REG_MULTI_SZ(多字符串)
二、常见取证键值
2.1 系统信息取证
操作系统信息
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
- ProductName:操作系统版本
- InstallDate:安装日期(Unix时间戳)
- RegisteredOwner:注册用户
- CSDVersion:服务包版本计算机名称
HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
- ComputerName:计算机名称时区信息
HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
- TimeZoneKeyName:时区名称
- ActiveTimeBias:时区偏移量2.2 已安装软件
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\此键下包含所有已安装程序的信息,每个子键对应一个程序:
- DisplayName:程序名称
- InstallDate:安装日期
- Publisher:发布者
- DisplayVersion:版本号
2.3 自启动程序
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run自启动项是恶意软件常用的持久化机制,这些键值中的异常条目需要重点关注。
2.4 最近访问记录
最近打开的文件
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs最近运行的命令
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU最近搜索记录
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery三、USB设备痕迹
3.1 USB设备连接记录
HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\该键记录了所有曾经连接过的USB存储设备:
- 设备标识符(厂商ID、产品ID、序列号)
- 首次连接时间
- 最后一次连接时间
3.2 USB设备安装日志
HKLM\SYSTEM\CurrentControlSet\Enum\USB\记录所有USB设备的连接信息,包括:
- 设备友好名称
- 父设备关系
- 设备类信息
3.3 设�连接时间
通过分析注册表的LastWrite时间戳,可以确定USB设备的连接时间。对于取证而言:
- NTUSER.DAT中MountPoints2记录用户级别的挂载信息
- SYSTEM hive中USBSTOR记录系统级别的设备信息
- 通过对比可确定设备首次连接和最后使用时间
四、用户活动重建
4.1 用户登录记录
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\每个SID子键对应一个用户配置:
- ProfileImagePath:用户配置文件路径
- Sid:用户安全标识符
- LoadTimeHigh/Low:配置加载时间
4.2 网络连接历史
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
- ProxyServer:代理服务器设置
- AutoConfigURL:自动配置URL
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\
- 已知网络列表及其连接信息4.3 浏览器活动
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main
- Start Page:主页设置
HKCU\SOFTWARE\Mozilla\Firefox\
- Firefox浏览器配置4.4 文件关联
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\文件扩展名关联信息可以反映用户常用的文件类型和应用程序。
五、恶意软件痕迹
5.1 服务注册
HKLM\SYSTEM\CurrentControlSet\Services\恶意软件常通过注册服务实现持久化:
- 查看异常的服务名称和路径
- 检查服务启动类型和参数
- 对比已知恶意服务的特征
5.2 安全软件禁用
HKLM\SOFTWARE\Microsoft\Windows Defender\
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\恶意软件可能修改这些键值来禁用安全软件。
六、注册表分析工具
- RegRipper:自动化注册表分析工具
- Registry Explorer:交互式注册表浏览工具
- Regshot:注册表对比工具
- Autopsy:内置注册表分析功能
七、总结
Windows注册表蕴含了丰富的取证信息。系统化地分析注册表数据,能够帮助调查人员重建用户活动时间线、追踪设备使用历史、发现恶意软件痕迹。注册表取证是Windows系统取证中不可或缺的组成部分。