List:

1 注册表的主要作用:
2 注册表的结构
3 注册表信息取证价值
4 无线证据
5 RecentDocs键
6 TypedURLs键
7 IP地址
8 启动项在注册表中的位置
9 RunOnce启动
10 启动服务
11 启动遗留应用程序
12 特定用户登录时启动
13 注册表中的存储设备证据
14 挂载设备
15 总结


0x1 注册表的主要作用:

  1. 软件、硬件的有关配置和状态信息,注册表中保存的应用程序和资源管理器外壳的初始条件、首选项和卸载数据。
  2. 网络电脑的设置和属性,文件扩展名与应用程序的关联,硬件部件的描述、状态和属性。
  3. 性能记录和底层的系统状态信息,以及其他数据。

​ 在不同的Windows 系统中注册表的结构会有一定的差异,其中数据也会有所不同,从而产生一个绝对惟一的注册表。

Tips:windows + r 输入 regedit 回车即可打开注册表


0x2 注册表的结构

  • HKEY_USERS:包含所有加载的用户配置文件
  • HKEYCURRENT_USER:当前登录用户的配置文件
  • HKEY_CLASSES_ROOT:包含所有已注册的文件类型、OLE等信息
  • HKEYCURRENT_CONFIG:启动时系统硬件配置文件
  • HKEYLOCAL_MACHINE:配置信息,包括硬件和软件设置

在这里我们使用 RegWorkshop 工具,因为它更强大并且非常方便

RegWorkshop 介绍


0x3 注册表信息取证价值

​ 通过注册表可以分析出系统发生了什么,发生的时间以及如何发生的等事件在注册表中可以获取到的信息包括:

  • 用户以及他们最后一次使用系统的时间
  • 最近使用过的软件
  • 挂载到系统的任何设备,包括闪存驱动器,硬盘驱动器,手机,平板电脑等的唯一标识符。
  • 系统连接过的特定无线接入点
  • 什么文件何时被访问过
  • 列出在系统上完成的任何搜索等

0x4 无线证据

在以上位置我们可以找到机器连接到的无线接入点的GUID列表。我们点击其中的任意一个,它都将为我们显示一些关于无线的详细信息,其中包括SSID名称和以十六进制表示的最后连接日期。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles

66124-8pgzmslfr35.png


0x5 RecentDocs键

Windows注册表会跟踪用户活动的大量信息。通常情况下,这些注册表项旨在使Windows运行更加高效和顺利。但对于调查取证人员来说,这些键值就好比是用户或攻击者活动的线路图。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

查看用户最近使用的rar压缩包文件,可以在.rar | .zip | .7z 扩展名下进行查找(每个键可以容纳最近10个文档)

97821-fq4p88f83ok.png


0x6 TypedURLs键

在 Internet Explorer 中输入的URL,该值将被存储在以下注册表中:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs

24514-6qrvh7p6s5g.png


0x7 IP地址

注册表还跟踪用户接口的IP地址。请注意接口可能有多个,该注册表项将跟踪每个接口的IP地址及相关信息。

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\Tcpip\Parameters\Interfaces\

81993-a0j7cfdfzk5.png


0x8 启动项在注册表中的位置

​ 作为一名取证人员,我们经常需要找到哪些应用程序或服务会在系统启动时被启动。因为攻击者很可能会通过这种方式来启动他们在目标机器上种植的木马程序,以与远程服务器建立连接。我们可以在以下位置找到该启动项:

06495-304l3voe9zw.png

- -/ :hacker 是我新建的值,系统的WeChat.exe 打开利用dll劫持会给我主机反弹一个shell


0x9 RunOnce启动

如果攻击者只是希望软件在启动时运行一次,则可以在此处设置子键。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

0x10 启动服务

下面的键列出了系统启动时将会启动的所有服务。

如果键值设置为2,服务将自动启动;

如果设置为3,则必须手动启动服务;

如果设置为4,则该服务被禁用。

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services

0x11 启动遗留应用程序

运行16位应用程序时,列出的程序运行在:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\WOW

0x12 特定用户登录时启动

在以下键中,键值将在特定用户登录时运行。

13257-7s48tmgevqg.png


0x13 注册表中的存储设备证据

​ 攻击者常常会使用Flash驱动器或硬盘驱动器进行恶意攻击,然后将其移除,以避免留下任何的证据。然而经验丰富的取证人员,仍然可以在注册表中找到这些存储设备的证据。

不同版本的Windows系统,注册表可能也有所不同。一名专业的取证人员,需要了解不同版本间的差异。由于Windows 7目前仍然是使用最广泛的操作系统,所以这里我将以Windows 7为例。

  1. USB存储设备 : 查找USB存储设备插入和使用的证据。
HK_Local_Machine\System\ControlSet00?\Enum\USBSTOR

77599-dgn4sebq7n8.png


0x14 挂载设备

如果攻击者使用任何必须挂载的硬件设备来读取或写入数据(CD-ROM,DVD,硬盘驱动器,闪存驱动器等),注册表将记录已挂载的设备, 列表中都是曾经挂载过的设备。

HKEY_LOCAL_MACHINE\System\MountedDevices

63387-9getqxo5gmh.png


0x15 总结

​ 在我们束手无策的时候注册表可能记录一些敏感的信息,但是注册表的内容并不是完全可信的,攻击者可以删除自己的操作信息或者伪造敏感信息来躲避追踪。


参考:https://www.cnblogs.com/wfq9330/p/9176654.html
参考:https://www.freebuf.com/articles/system/142417.html

标签: 应急响应

添加新评论

marisa.png