巧用Windows注册表进行计算机司法取证分析工作

 

注册表是Windows操作系统(9x/Me/Nt/2000/XP)、硬件设备及客户应用程序得以正常运行和保存设置的核心“数据库”，也可以说是一个非常巨大的树状分层结构的数据库系统。它记录了用户安装在计算机上的软件和每个程序（包括Windows操作系统本身）的相互关联信息，包含了计算机的硬件配置，包括了自动配置的即插即用设备和已有的各种设备说明、状态属性及各种信息和数据。

 

正是由于Windows注册表的以上特点，为公安系统在计算机司法取证工作方面提供了机会。犯罪嫌疑人计算机的Windows操作系统会不知不觉的记录下其相关行为。如果计算机司法取证分析调查员掌握了Windows注册表相关知识和注册表司法分析工具，就可以轻易的提取并分析出犯罪嫌疑人计算机中的相关信息。如最后一次的登录时间、最近打开的网页、最近打个的文件和Outlook/Outlook Express帐户密码等关键信息，通过这些信息往往就可以找到犯罪嫌疑人的相关证据。

 

一、如何访问注册表

在一台正常运行Windows操作系统的计算机中，我们直接通过点击开始菜单->运行程序，然后输入regedit，点击确认即可，如下图所示：

 

 

通过以上操作便可以对Windows注册表进行查看、分析和查找，但是对于计算机取证分析调查员来讲，以上操作并不可取，应该说是要坚决避免的。至于原因，其实上面已经有所提及，注册表会不知不觉的记录下犯罪嫌疑人的操作纪录以及相关信息，当然也会记录下调查员的操作纪录，这样就失去了证据保全的意义，因为证据已经被修改。

 

那我们应采用何种方式访问注册表呢，目前有两种可行方法：

1．  通过幻影在线分析仪或其它计算机仿真设备

将幻影在线分析仪接入原计算机的主板和硬盘之间，重新开启犯罪嫌疑人原计算机，进入Windows操作系统，然后即可按照上面的方法对注册表进行查看、分析和查找。由于幻影在线分析仪已经集成了原硬盘写保护的功能，证据不会被修改，所以不必再担心证据的保全的问题。若使用其它计算机仿真设备时，需要注意证据保全的问题。

 

2．  通过提取注册表文件，并运行司法专用注册表分析工具

需要先将犯罪嫌疑人计算机中的硬盘取下，通过硬盘写保护设备，以只读的方式接入调查员的计算机，然后进入到嫌疑人硬盘的“C:WINDOWSsystem32config”目录，将SAM、SECURITY、software、system四个注册表文件提取出来，如下图所示：

 

注意不要忘记“C:Documents and Settings”目录下每个帐户的NTUSER文件，NTUSER文件在Windows操作系统中通常设置为隐藏模式，需在文件夹选项中设置为“显示所以文件和文件夹”，如下图所示：

由于注册表文件是以二进制方式存储的，所以不能使用传统的文本编辑器读写注册表中的数据。调查员对注册表文件的访问需要采用司法专用注册表分析工具，如美国AccessData公司的Registry Viewer（简称RV）注册表分析器，通过RV，不仅可以对以上注册表文件进行快速查看和分析，还可以查看和分析“受保护存储区域”中的数据，如注册表中纪录的网络和邮件账号和密码，以及Google和Yahoo的搜索等信息，且RV支持中文界面，操作简单，便于调查员的使用。

 

二、注册表文件的分别含义

通过注册表文件提取的方式，我们可以获取SAM、SECURITY、software、system以及NTUSER等多个注册表文件，这些注册表文件具体有何含义呢？在这些注册表中分别纪录了哪些信息呢？请见下表：

 

Windows版本	文件名	位置	内容
98/ME	system.dat	Windows	· 所有用户的受保护区域信息 · 所有的安装程序、设定以及与之相关的用户名和密码 · 系统设置
	user.dat	Windows Windowsprofiles用户帐户	最近访问的文件(MRU)
2000/XP	ntuser.dat	Documents and Settingsuser name	· 用户受保护区域信息 · 最近访问的文件(MRU) · 用户参数设定
	SAM	WINDOWSsystem32config	用户帐户管理和安全设置
	Security	WINDOWSsystem32config	安全设置
	Software	WINDOWSsystem32config	所有的安装程序、设定以及与之相关的用户名和密码
	System	WINDOWSsystem32config	系统设置

 

 

三、注册表结构

注册表结构与Windows目录十分相似，均采用树状结构，分别由键、子键、项和值组成。如下图所示：

 

 

四、实例

通过以上对Windows注册表的了解，我们下面通过一些实例来说明调查员使用RV可以获取哪些关键信息和数据。

1. IE保存的登录帐户和密码（NTUSER.DATSoftwareMicrosoftProtected Storage System ProviderSIDInternet ExplorerInternet Explorer-URL:StringData），如下图所示：

 

2. IE保存的搜索纪录（NTUSER.DATSoftwareMicrosoftProtected Storage System ProviderSIDInternet ExplorerInternet Explorer-q:StringIndex），如下图所示：

 

3. 输入的URL地址（NTUSER.DATSoftwareMicrosoft Internet ExplorerTyped URLs），如下图所示：

 

4. Outlook和Outlook Express帐户密码（NTUSER.DATSoftwareMicrosoftProtected Storage System ProviderSIDIndentificationINETCOMM Server Passwords），如下图所示：

 

5. 操作系统相关系统（SOFTWAREMicrosoftWindows NTCurrenVersion），如下图所示：

 

 

6. 开机自动运行的程序列表（SOFTWAREMicrosoftWindowsCurrenVersionRun），如下图所示：

 

7. TCP/IP网络设置(SYSTEMControlSetXXXServices网卡ParametersTCPIP)，如下图所示：

8. 最近访问的文件（NTUSER.DATSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU），如下图所示：

五、总结

通过对犯罪嫌疑人计算机Windows注册表的查看和分析，调查员可以快速掌握其相关信息，如最后一次的登录时间、最近打开的网页、最近打开的文件和Outlook/Outlook Express帐户密码等关键信息，通过这些信息往往就可以找到犯罪嫌疑人的相关证据，而这些证据往往可以为我们今后的深入分析和最终结论提供有效的帮助。