注册表取证

1、实验原理

        注册表是Windows系统存储关于计算机配置信息的中央数据库，是系统的核心。注册表中的数据是以二进制的形式存储的，这个数据库存放有计算机硬件和软件的配置信息、应用软件和文档文件的关联关系以及各种网络状态信息和其他数据。注册表取证时应着重检查一下项目：硬件配置信息（主板型号、BIOS版本、系统时间等）、系统配置信息（机器名、安装时间、关机时间、安装版本、用户列表、网络信息等）、使用者信息（用户名、密码、上网记录、MRU、外置设备等）

 

        系统用户，硬件和软件的存储配置信息的数据库。虽然注册表是为了配置系统而设计的，但它可以跟踪用户的活动，连接到系统的设备，什么时间什么软件被使用过等都将被记录在案。所有这些都可用于取证人员，分析溯源用户的恶意或非恶意行为。注册表中有跟文件夹，这些文件夹被称为蜂巢，即如下5个注册表配置单元：

HKEY_USERS（包含所有载的用户配置文件）、

HKEYCURRENT_USER（当前登录用户的配置文件)、

HKEY_CLASSES_ROOT（包含所有已注册的文件类型、OLE等信件息）

HKEYCURRENT_CONFIG（启动时系统硬件配置文件）、

HKEYLOCAL_MACHINE（配置信息，包括硬件和软件设置)

注册表由键、子键和值项构成，一个键就是分支中的一个文件夹，而子键就是这个文件夹中的子文件夹，子键同样是一个键。一个值项则是一个键的当前定义，由名称、数据类型以及分配的值组成。一个键可以有一个或多个值，每个值的名称各不相同，如果一个值的名称为空，则该值为该键的默认值。通常，值是0或1，意味着开或关，也可以包含通常以十六进制显示的更复杂的信息。如下图所示。

实验目标

通过查看典型的注册表项，了解注册表中存储的信息对取证的作用

1、打开注册表编辑器

 或者win+R 然后输入regedit

 查看注册表位置为

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\NetworkList\Profiles获取无线接入点的GUID列表。

 当攻击者通过攻破目标网络的无线进行入侵时，取证人员可以对提取的IP进行溯源从而定位无线接入点。任意点击无线接入点GUID列表中的一个即可显示关于无线的详细信息，其中包括SSID名称和以十六进制表示的最后连接日期