Windows 取证之注册表

一、概述

注册表（英语：Registry）是Microsoft Windows操作系统和其应用程序中的一个重要的层次型数据库，用于存储系统和应用程序的配置信息。

早在Windows 3.0推出OLE技术的时候，注册表就已经出现。但是，从Windows 95开始，注册表才真正成为Windows用户经常接触的内容，并在其后的操作系统中继续沿用至今。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。

二、注册表的组成结构

注册表由键（key，或称“项”）、子键（subkey，子项）和值项（value）构成的hive文件组成，关于Windows注册表hive格式的详情说明可以参考这篇文章：regf/Windows
registry file format specification.md at master · msuhanov/regf ·
GitHub

注册表的结构是一个树状结构，一个键（key，或称“项”）就是一个节点，子键（subkey)就是这个节点的子节点，子健也是键。键的一条属性被称为一个value（值项），value由名称、类型、数据类型和数据组成。一个键可以有多个值，每个值的名称不同，如果值名称是空，则该值为该键的默认值。

可以打开注册表编辑器查看其结构组成：

注册表的主键，也就是主分支有五个，分别是：

HKEY_CLASSES_ROOT：包含启动应用程序所需的全部信息，包括扩展名，应用程序与文档之间的关系，驱动程序名，DDE和OLE信息，类ID编号和应用程序与文档的图标等。

• HKEY_CURRENT_USER：包含当前用户的配置信息，比如环境变量，桌面设置等

• HKEY_LOCAL_MACHINE：包括安装在计算机上的硬件和软件的信息

• HKEY_USERS:包含计算机的所有用户配置信息

• HKEY_CURRENT_CONFIG：当前硬件的配置信息。

注册表数据类型主要有以下几种：

• REG_SZ：字符串类型，文本字符串

• REG_BINARY：二进制类型，不定长度的二进制值，以16进制形式显示

• REG_DWORD：双字，32 位的二进制值，显示为 8 位的十六进制值

• REG_MULTI_SZ：多字符串，有多个文本值的字符串，字符串间用 nul 分隔、结尾两个 nul

• REG_EXPAND_SZ:可扩展字符串，包含环境变量的字符串

注册表中时间格式有以下几种：

FILETIME：64位值，代表间隔多少个单位为100纳秒的时间（从UTC1601年1月1日开始）

Unix Time：32位值，代表间隔多少秒（从UTC1970年1月1日开始）。

DOS Date/Time：两个16位值，详细记录了当地时间和年月日。

三、注册表的存储

注册表在Windows NT操作系统中被分为多个文件存储，这些文件被称为Registry Hives，每一个文件被称为一个配置单元。

主要配置单元有：

SYSTEM：对应的注册表分支为HKEY_LOCAL_MACHINE\SYSTEM，对应的存储文件是\Windows\System32\config\SYSTEM，其作用是存储计算机硬件和系统的信息。

NTUSER.DAT：对应的注册表分支是HKEY_CURRENT_USER，存储在用户目录下，与其他注册表文件是分开的，主要用于存储用户的配置信息。

SAM：分支是HKEY_LOCAL_MACHINE\SAM，存储在C:\Windows\System32\config\SAM文件中，保存了用户的密码信息。

SECURITY：对应的分支HKEY_LOCAL_MACHINE\SECURITY，存储在C:\Windows\System32\config\SECURITY文件中，保存了安全性设置信息。

SOFTWARE：分支是HKEY_LOCAL_MACHINE\SOFTWARE，文件存储在C:\Windows\System32\config\SOFTWARE中，保存安装软件的信息。

修改注册表的主要方式有：1、使用提供Windows提供的注册表编辑器：%systemroot%\regedit.exe；2、使用reg命令，可以对注册表进行增删改查、导入导出注册表文件（reg文件）、导入导出或加载配置单元（RegHive）等操作；3、使用reg文件，用户可以通过注册表编辑器导出注册表某些项为一个reg文件，反之可以导入一个reg文件将项目还原或者修改。

此外，为了防止注册表出错和损坏，Registry hives还包括注册的事务日志文件和注册表的备份文件。事务日志文件名与注册表文件一致，且在同一个路径中，只是后缀不同。事务日志文件以.LOG为后缀，多个日志后缀会显示LOG1、LOG2这样。（如果要查看这些日志文件，需要打开文件夹选项，取消勾选“隐藏受保护的操作系统文件”）

备份文件则在\Windows\System32\config\RegBack\路径中。

在发生修改将数据写入到主文件之前，Hive写入器会先将这些数据存储在事务日志文件中，如果写入事务日志时发生错误（比如系统崩溃），则主文件不会受影响。如果写入主文件时发生错误，可以通过事务日志包含的数据恢复主文件。

四、获取和分析Hive

要获取Hive，可以通过reg save命令创建Registry Hives的副本。(在管理员权限的命令提示符中执行)

C:\WINDOWS\system32>reg save hklm\sam c:\sam  
操作成功完成。  
​  
C:\WINDOWS\system32>

分析Hive可以使用开源软件RegRipper，RegRipper是一个用perl编写的开源工具，可以从注册表中提取和解析各种信息（Key、value、data）以供取证人员进行分析。

RegRipper项目地址：https://github.com/keydet89/RegRipper3.0

打开RegRipper软件，选择Hive文件，设置好报告存储路径，选择好Profile，然后点Rip It

它会创建两个文件，一个是日志文件，一个是报告文件

打开SAM``hive的分析报告文件，可以看到用户和用户组的详细信息

五、取证实战

来源：Cynet应急响应挑战赛

题目描述：Podrick说在2020 年 2 月 3 日午餐时间（下午 12:00
左右），有一个恶意的USB设备插入了他的电脑。他还提到他看到他的一位同事——Theon G，手里拿着USB设备离开了他的办公室。但Theon声称他进入办公室是为了拜访Aria（与Podrick在同一办公室）。见Aria不在，他便离开了办公室。Podrick没有锁屏的习惯，他怀疑Theon趁他不在的时候窃取了他的数据。

提示：1、检查Podrick的电脑；2、确定2020年2月3日，是否有USB设备连接到Podrick的PC？；3、提交可疑 USB
设备的Serial/UID

题目提供的文件是几个Hive文件

这些文件代表什么，在前面的小节中都已经介绍过了，除了Amcache.hve，这是Win8及更高版本的系统才有的。它存储与执行程序相关的信息，当用户执行某些操作（例如运行基于主机的应用程序、安装新应用程序或从外部设备运行便携式应用程序）时，它会记录程序相关的信息：如程序的创建时间、修改时间、名称、描述、程序厂商和版本、程序的执行路径、SHA-1哈希值等。即使程序从系统中删除，这些信息依然存在。

回到题目，我们要调查USB使用痕迹，根据前面的知识，我们需要分析SYSTEM这个Hive文件。

打开RegRipper工具，加载提供的SYSTEM文件，导出分析报告。

打开报告文件，通过搜索USBSTOR(这个key(SYSTEM\CurrentControlSet\Enum\USBSTOR)存储了任何曾经连接过系统的USB设备的产品信息和设备ID)，可以找到有关USB设备的注册表信息。

通过查找和筛选比对，最终我们找到2020-12:12:32有一个USB设备插入了电脑，Serial/UID是:4C530000281008116284

本文涉及相关实验：FastIRCollector：[Windows取证利器](https://www.hetianlab.com/expc.do?ec=ECID9d6c0ca797abec2016100814354600001&pk_campaign=freebuf-
wemedia)（FastIR
Collector是一个Windows下的取证/信息收集工具，收集的东西揽括了所有你能想到的东西，不限于内存，注册表，文件信息等。本实验将介绍FastIR
Collector在windows 7下的使用。）

00814354600001&pk_campaign=freebuf-
wemedia)（FastIR
Collector是一个Windows下的取证/信息收集工具，收集的东西揽括了所有你能想到的东西，不限于内存，注册表，文件信息等。本实验将介绍FastIR
Collector在windows 7下的使用。）

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。