一、概述
注册表(英语:Registry
)是Microsoft Windows
操作系统和其应用程序中的一个重要的层次型数据库,用于存储系统和应用程序的配置信息。
早在Windows 3.0
推出OLE
技术的时候,注册表就已经出现。但是,从Windows 95
开始,注册表才真正成为Windows
用户经常接触的内容,并在其后的操作系统中继续沿用至今。随后推出的Windows NT
是第一个从系统级别广泛使用注册表的操作系统。
二、注册表的组成结构
注册表由键(key
,或称“项”)、子键(subkey
,子项)和值项(value
)构成的hive
文件组成,关于Windows
注册表hive
格式的详情说明可以参考这篇文章:regf/Windows
registry file format specification.md at master · msuhanov/regf ·
GitHub
注册表的结构是一个树状结构,一个键(key
,或称“项”)就是一个节点,子键(subkey
)就是这个节点的子节点,子健也是键。键的一条属性被称为一个value
(值项),value
由名称、类型、数据类型和数据组成。一个键可以有多个值,每个值的名称不同,如果值名称是空,则该值为该键的默认值。
可以打开注册表编辑器查看其结构组成:
注册表的主键,也就是主分支有五个,分别是:
HKEY_CLASSES_ROOT
:包含启动应用程序所需的全部信息,包括扩展名,应用程序与文档之间的关系,驱动程序名,DDE
和OLE
信息,类ID
编号和应用程序与文档的图标等。
HKEY_CURRENT_USER
:包含当前用户的配置信息,比如环境变量,桌面设置等
HKEY_LOCAL_MACHINE
:包括安装在计算机上的硬件和软件的信息
HKEY_USERS
:包含计算机的所有用户配置信息
HKEY_CURRENT_CONFIG
:当前硬件的配置信息。
注册表数据类型主要有以下几种:
REG_SZ
:字符串类型,文本字符串
REG_BINARY
:二进制类型,不定长度的二进制值,以16进制形式显示
REG_DWORD
:双字,32 位的二进制值,显示为 8 位的十六进制值
REG_MULTI_SZ
:多字符串,有多个文本值的字符串,字符串间用 nul 分隔、结尾两个 nul
REG_EXPAND_SZ
:可扩展字符串,包含环境变量的字符串
注册表中时间格式有以下几种:
FILETIME
:64位值,代表间隔多少个单位为100纳秒的时间(从UTC1601年1月1日开始)
Unix Time
:32位值,代表间隔多少秒(从UTC1970年1月1日开始)。
DOS Date/Time
:两个16位值,详细记录了当地时间和年月日。
三、注册表的存储
注册表在Windows NT
操作系统中被分为多个文件存储,这些文件被称为Registry Hives
,每一个文件被称为一个配置单元。
主要配置单元有:
SYSTEM
:对应的注册表分支为HKEY_LOCAL_MACHINE\SYSTEM
,对应的存储文件是\Windows\System32\config\SYSTEM
,其作用是存储计算机硬件和系统的信息。
NTUSER.DAT
:对应的注册表分支是HKEY_CURRENT_USER
,存储在用户目录下,与其他注册表文件是分开的,主要用于存储用户的配置信息。
SAM
:分支是HKEY_LOCAL_MACHINE\SAM
,存储在C:\Windows\System32\config\SAM
文件中,保存了用户的密码信息。
SECURITY
:对应的分支HKEY_LOCAL_MACHINE\SECURITY
,存储在C:\Windows\System32\config\SECURITY
文件中,保存了安全性设置信息。
SOFTWARE
:分支是HKEY_LOCAL_MACHINE\SOFTWARE
,文件存储在C:\Windows\System32\config\SOFTWARE
中,保存安装软件的信息。
修改注册表的主要方式有:1、使用提供Windows
提供的注册表编辑器:%systemroot%\regedit.exe
;2、使用reg
命令,可以对注册表进行增删改查、导入导出注册表文件(reg
文件)、导入导出或加载配置单元(RegHive
)等操作;3、使用reg
文件,用户可以通过注册表编辑器导出注册表某些项为一个reg
文件,反之可以导入一个reg
文件将项目还原或者修改。
此外,为了防止注册表出错和损坏,Registry hives
还包括注册的事务日志文件和注册表的备份文件。事务日志文件名与注册表文件一致,且在同一个路径中,只是后缀不同。事务日志文件以.LOG
为后缀,多个日志后缀会显示LOG1
、LOG2
这样。(如果要查看这些日志文件,需要打开文件夹选项,取消勾选“隐藏受保护的操作系统文件”)
备份文件则在\Windows\System32\config\RegBack\
路径中。
在发生修改将数据写入到主文件之前,Hive
写入器会先将这些数据存储在事务日志文件中,如果写入事务日志时发生错误(比如系统崩溃),则主文件不会受影响。如果写入主文件时发生错误,可以通过事务日志包含的数据恢复主文件。
四、获取和分析Hive
要获取Hive
,可以通过reg save
命令创建Registry Hives
的副本。(在管理员权限的命令提示符中执行)
C:\WINDOWS\system32>reg save hklm\sam c:\sam
操作成功完成。
C:\WINDOWS\system32>
分析Hive
可以使用开源软件RegRipper
,RegRipper
是一个用perl
编写的开源工具,可以从注册表中提取和解析各种信息(Key、value、data)以供取证人员进行分析。
RegRipper
项目地址:https://github.com/keydet89/RegRipper3.0
打开RegRipper
软件,选择Hive
文件,设置好报告存储路径,选择好Profile
,然后点Rip It
它会创建两个文件,一个是日志文件,一个是报告文件
打开SAM``hive
的分析报告文件,可以看到用户和用户组的详细信息
五、取证实战
来源:Cynet应急响应挑战赛
题目描述:Podrick
说在2020 年 2 月 3 日午餐时间(下午 12:00
左右),有一个恶意的USB
设备插入了他的电脑。他还提到他看到他的一位同事——Theon G
,手里拿着USB
设备离开了他的办公室。但Theon
声称他进入办公室是为了拜访Aria
(与Podrick
在同一办公室)。见Aria
不在,他便离开了办公室。Podrick
没有锁屏的习惯,他怀疑Theon
趁他不在的时候窃取了他的数据。
提示:1、检查Podrick
的电脑;2、确定2020年2月3日,是否有USB设备连接到Podrick的PC?;3、提交可疑 USB
设备的Serial/UID
题目提供的文件是几个Hive
文件
这些文件代表什么,在前面的小节中都已经介绍过了,除了Amcache.hve
,这是Win8
及更高版本的系统才有的。它存储与执行程序相关的信息,当用户执行某些操作(例如运行基于主机的应用程序、安装新应用程序或从外部设备运行便携式应用程序)时,它会记录程序相关的信息:如程序的创建时间、修改时间、名称、描述、程序厂商和版本、程序的执行路径、SHA-1哈希值等。即使程序从系统中删除,这些信息依然存在。
回到题目,我们要调查USB
使用痕迹,根据前面的知识,我们需要分析SYSTEM
这个Hive
文件。
打开RegRipper
工具,加载提供的SYSTEM
文件,导出分析报告。
打开报告文件,通过搜索USBSTOR
(这个key
(SYSTEM\CurrentControlSet\Enum\USBSTOR
)存储了任何曾经连接过系统的USB
设备的产品信息和设备ID
),可以找到有关USB
设备的注册表信息。
通过查找和筛选比对,最终我们找到2020-12:12:32
有一个USB
设备插入了电脑,Serial/UID
是:4C530000281008116284
本文涉及相关实验:FastIRCollector:[Windows取证利器](https://www.hetianlab.com/expc.do?ec=ECID9d6c0ca797abec2016100814354600001&pk_campaign=freebuf-
wemedia)(FastIR
Collector是一个Windows下的取证/信息收集工具,收集的东西揽括了所有你能想到的东西,不限于内存,注册表,文件信息等。本实验将介绍FastIR
Collector在windows 7下的使用。)
00814354600001&pk_campaign=freebuf-
wemedia)(FastIR
Collector是一个Windows下的取证/信息收集工具,收集的东西揽括了所有你能想到的东西,不限于内存,注册表,文件信息等。本实验将介绍FastIR
Collector在windows 7下的使用。)
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
![](https://img-blog.csdnimg.cn/img_convert/5038c791428a513aca3d99aac6d0bed5.jpeg)