Windows注册表取证

约 9 分钟读完

Windows注册表取证

Windows注册表是系统配置信息的核心数据库,包含了大量对数字取证有重要价值的数据。通过对注册表的深入分析,调查人员可以重建用户活动、追踪设备使用、识别恶意软件行为。

一、注册表基础结构

1.1 注册表Hive

注册表由多个Hive(配置单元)组成,每个Hive存储特定类型的配置信息:

Hive名称 文件路径 存储内容
HKLM\SAM %SystemRoot%\System32\config\SAM 用户账户数据库
HKLM\SYSTEM %SystemRoot%\System32\config\SYSTEM 系统配置信息
HKLM\SOFTWARE %SystemRoot%\System32\config\SOFTWARE 已安装软件信息
HKLM\SECURITY %SystemRoot%\System32\config\SECURITY 安全策略信息
HKU\DEFAULT %SystemRoot%\System32\config\default 默认用户配置
NTUSER.DAT %UserProfile%\ 每个用户的配置
UsrClass.dat %UserProfile%\AppData\Local\Microsoft\Windows\ 用户类注册信息

1.2 注册表键与值

  • 键(Key):类似于文件系统中的文件夹
  • 值(Value):键下的数据项,包含名称、类型和数据
  • 常见值类型:REG_SZ(字符串)、REG_DWORD(整数)、REG_BINARY(二进制)、REG_MULTI_SZ(多字符串)

二、常见取证键值

2.1 系统信息取证

操作系统信息

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion
  - ProductName:操作系统版本
  - InstallDate:安装日期(Unix时间戳)
  - RegisteredOwner:注册用户
  - CSDVersion:服务包版本

计算机名称

HKLM\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName
  - ComputerName:计算机名称

时区信息

HKLM\SYSTEM\CurrentControlSet\Control\TimeZoneInformation
  - TimeZoneKeyName:时区名称
  - ActiveTimeBias:时区偏移量

2.2 已安装软件

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\

此键下包含所有已安装程序的信息,每个子键对应一个程序:

  • DisplayName:程序名称
  • InstallDate:安装日期
  • Publisher:发布者
  • DisplayVersion:版本号

2.3 自启动程序

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

自启动项是恶意软件常用的持久化机制,这些键值中的异常条目需要重点关注。

2.4 最近访问记录

最近打开的文件

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

最近运行的命令

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

最近搜索记录

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\WordWheelQuery

三、USB设备痕迹

3.1 USB设备连接记录

HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR\

该键记录了所有曾经连接过的USB存储设备:

  • 设备标识符(厂商ID、产品ID、序列号)
  • 首次连接时间
  • 最后一次连接时间

3.2 USB设备安装日志

HKLM\SYSTEM\CurrentControlSet\Enum\USB\

记录所有USB设备的连接信息,包括:

  • 设备友好名称
  • 父设备关系
  • 设备类信息

3.3 设�连接时间

通过分析注册表的LastWrite时间戳,可以确定USB设备的连接时间。对于取证而言:

  • NTUSER.DAT中MountPoints2记录用户级别的挂载信息
  • SYSTEM hive中USBSTOR记录系统级别的设备信息
  • 通过对比可确定设备首次连接和最后使用时间

四、用户活动重建

4.1 用户登录记录

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\

每个SID子键对应一个用户配置:

  • ProfileImagePath:用户配置文件路径
  • Sid:用户安全标识符
  • LoadTimeHigh/Low:配置加载时间

4.2 网络连接历史

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
  - ProxyServer:代理服务器设置
  - AutoConfigURL:自动配置URL

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\
  - 已知网络列表及其连接信息

4.3 浏览器活动

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main
  - Start Page:主页设置

HKCU\SOFTWARE\Mozilla\Firefox\
  - Firefox浏览器配置

4.4 文件关联

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FileExts\

文件扩展名关联信息可以反映用户常用的文件类型和应用程序。

五、恶意软件痕迹

5.1 服务注册

HKLM\SYSTEM\CurrentControlSet\Services\

恶意软件常通过注册服务实现持久化:

  • 查看异常的服务名称和路径
  • 检查服务启动类型和参数
  • 对比已知恶意服务的特征

5.2 安全软件禁用

HKLM\SOFTWARE\Microsoft\Windows Defender\
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender\

恶意软件可能修改这些键值来禁用安全软件。

六、注册表分析工具

  • RegRipper:自动化注册表分析工具
  • Registry Explorer:交互式注册表浏览工具
  • Regshot:注册表对比工具
  • Autopsy:内置注册表分析功能

七、总结

Windows注册表蕴含了丰富的取证信息。系统化地分析注册表数据,能够帮助调查人员重建用户活动时间线、追踪设备使用历史、发现恶意软件痕迹。注册表取证是Windows系统取证中不可或缺的组成部分。

← 内存取证技术 Windows服务器安全加固 →