Windows注册表剖析取证
研习会干货小课堂第2期
干货小课堂第2期开讲!
自从答应了亲们的论坛后续分享,小编马不停蹄地赶稿,生怕坐等更新的大家沮丧。虽然目前我们的读者不算多,但不管多少人,只要有人看,你就是我们继续的原动力!
今天分享的内容来自与Arsenal公司创始人及执行总裁Mark Spencer的讲演,如果要用一句话来概括他的讲演,那一定是:
Show something you have never seen!
这是Mark亲口跟小编说的,有没有倍感满满的诚心?当然他也确实做到了,不信我们来瞧瞧。
那英文没学好的,就是你,别念了,先看干货!
内容要点
Windows注册表相关概念
注册表取证的建议和忠告
注册表取证的工具剖析对比
注册表路径剖析汇总
注册表记录着犯罪者大量的证据,成为严打计算机犯罪特别重要的线索和证据来源。然而,Windows注册表取证过程中的难点在于大量的注册表信息没有官方的详尽文档可循。目前各类工具所提供的注册表剖析功能,一般只是对一些常常访问的注册表项目进行剖析,而且一般一次只能加载并剖析一台计算机的注册表文件。由于剖析方式复杂,且具有好多加密的项目和通配符,通常的注册表剖析也是一个特别历时的工作。
Windows注册表相关概念
什么是注册表?
注册表是Windows操作系统、各种硬件设备以及应用程序得以正常运行的核心“数据库”,存有硬件、软件和用户信息。注册表由富含“键”和“值”的hive文件组成,“键”和“值”与文件夹、文件类似。
所有的注册表,不是仅仅指我们常说的“SAM、Security、Software、System、Ntuser.dat”这几个文件,而是指搜索出在硬碟中曾今存在过的,并早已被操作系统备份的、自行删掉的、用户故意删掉的、升级操作系统、被Ghost重新恢复系统等行为导致的遗失的注册表。
注册表存在那里?
1. (Windows Root)\System32\config
SAM/SECURITY/SOFTWARE/SYSTEM [XP+]
RegBack folder [7+]
2. (User Root)\NTUSER.DAT [XP+]
3. (UserRoot)\AppData\Local\Microsoft\Windows\
USRCLASS.DAT [7+]
4.(Windows Root)\AppCompat\Programs\Amcache.
hve [8+]
此外,还存在与RP系统还原点、VSC卷影副本、内存、休眠文件以及剩余空间里,等等。
注:请参考所有系统版本的这种位置。如:带有 “7+” 的位置是否也在Vista系统中出现。
注册表的值
注册表的值包含了名称、类型和数据域
值的类型有以下几种:
1. REG_SZ - String:以文本方式呈现
2. REG_DWORD - Double Word:以4字节的二进制方式呈现,通常用于代表0 (00 00 00 00) 或1 (00 00 00 01)
3. REG_BINARY - Binary :以十六进制方式呈现
注册表的时间格式
注册表包含这几种日期时间格式:
Registry includes date/time formats which include:
1. FILETIME: 64位值,代表间隔多少个单位为100纳秒的时间(从UTC1601年1月1日开始)。
2. Unix Time: 32位值,代表间隔多少秒(从UTC1970年1月1日开始)。
3. DOS Date/Time: 两个16位值,详细记录了当地时间和年月日。
请输入标题 abcdefg
注册表取证的建议和忠告
只要你解析注册表,就一定要亲身研究和测试,这一步不能省更不能替代。
使用工具提取出额外的信息后,一定要保持怀疑的心态并加以验证,因为许多信息可能是“陷阱”!
真实案例一:
曾在一个案子中,一个笔记本的硬碟镜像剖析结果表明,该笔记本曾在同一时间同时接入了29个不同的USB!但是这在数学层面上来说根本是不可能的!因此这个剖析结果是不可信的。
真实缘由——系统升级时将之前所有的接入记录时间都更改为了升级时间。
真实案例二:
同一个USB接入不同笔记本中的记录,在使用EnCase剖析后发觉,这是两个不同序列号的硬盘,因此判断为两个不同的硬盘。
真实缘由——当Windows没有获取到硬盘的序列号时,会自己生成一个序列号,不同的笔记本生成的序列号会不同。因此该工具在这一点上的提取信息也不可靠。
请输入标题 abcdefg
注册表取证的工具剖析对比
前面我们谈到过,目前常见的注册表剖析工具,一次只能剖析单个hive文件,如:
Eric Zimmerman’s Registry Explorer
ShellBagsExplorer
AmcacheParser
AppCompatCacheParser
Harlan Carvey’s RegRipper
(建议下载以上工具操作尝试对比)
而Arsenal的Registry Recon,不仅能对一台计算机的注册表文件进行剖析,还可以对挖掘下来的所有注册表数据进行一次性加载剖析,并可以显示出通配符来源于某个具体的注册表文件或某个磁道,此外还可以对hive文件进行碎片重组,恢复注册表信息,等等。 下图是使用Rregistry Recon后在注册表取证方面的进步。
这样的疗效,超越了目前所有的取证工具的注册表剖析结果,可以让调查员得到已被重装系统前的操作系统注册表信息、打开过哪些文件、使用过什么硬盘、不同时期的计算机的DHCP IP地址等等,这些原本取证人员觉得早已不可能再得到的宝贵证据,Recon居然都做到了!
Registry Recon在实际案例中恢复的数据量记录
Mark在讲演中,在分屏上展示了恢复并重塑注册表中的好多实例。他配合使用了SANS培训课程中的Donald Blake案例,清晰地展示出了案例中用户下载Skype,被删除的Dropbox,还有病毒程序的痕迹,找到了在任何的注册表剖析工具中都未能找到的信息。(由于案例真实,在此不作详尽公开)
对了,他还专门介绍了Windows 8.1以后出现的注册表清除功能。某些不常常使用的联通储存设备的使用痕迹,将在30天之后被清除。这样将30天之前以前链接过的不常常使用的硬盘痕迹,将永远没法找到。但是通过Registry Recon剖析,依然从系统还原点、卷影拷贝、未分配空间保存过的注册表文件或碎片中找到了这种USB设备的使用痕迹。
请输入标题 abcdefg
注册表路径剖析汇总
敲黑板!看好了,接下来的干货不能再干了!小编早已严重缺水……
以下是Mark大方分享的多年经验,也就是剖析注册表中应当去剖析的路径总结!赶快记出来!
基本剖析路径
网络链接记录
实际到过的地理位置
远程访问
文件和文件夹
文件和文件夹
文件和文件夹
程序执行记录
Amcache
系统资源管理器
申明:本篇内容创意和干货来自于Mark Spencer先生,仅用于学习交流,不可另作他用。
下面四本书是Mark在注册表取证时强力推荐的,在此分享给你们:
书籍下载:
密码:CCFC
总算写完了!不过小编只能算个搬砖工,Mark乐意分享成果的精神才让你们感动!这不,在场的一位取证专家给出了以下评论。
“
赞!Mark有起码两点值得学习:
一是她们和顶级的峰会讨论谷歌没公布的东西,并且总结,还写出工具;
二是她们把取证技术和病毒剖析甚至和黑客技术结合,能够不以无趣的取证工作为出发点,从高超的技能角度考虑问题,怀疑问题,才能一次次颠覆韩国这些专家证人。
所以我们得把Mark学习的网站弄到手,再买几本ntfs的书,时常从Mark角度检讨之前碰到的案件。当然,下次开会再把Mark叫来,了解她们去年又学了哪些东西。
”
你怎样看?赶快留言吧。
你可以不点赞,但你必须晓得!小编周末不是在赶稿,就是在赶稿的路上……