RELATEED CONSULTING
相关咨询
选择下列产品马上在线沟通
服务时间:9:30-18:00
你可能遇到了下面的问题
关闭右侧工具栏
Windows注册表分析取证 研习会干货小课堂第2期
  • 作者:admin
  • 发表时间:2017-09-07 11:48
  • 来源:未知

  今天分享的第十三届计算机取证峰会内容来自与Arsenal公司创始人及执行总裁Mark Spencer的演讲,如果要用一句话来概括他的演讲,那一定是:Show something you have never seen!

  内容要点

  Windows注册表相关概念

  注册表取证的建议和忠告

  注册表取证的工具分析对比

  注册表路径分析汇总

  注册表记录着犯罪者大量的证据,成为打击计算机犯罪非常重要的线索和证据来源。然而,Windows注册表取证过程中的难点在于大量的注册表信息没有官方的详细文档可循。目前各种工具所提供的注册表分析功能,一般只是对一些经常访问的注册表项目进行分析,而且通常一次只能加载并分析一台计算机的注册表文件。由于分析方法复杂,且具有很多加密的项目和键值,通常的注册表分析也是一个非常耗时的工作。

  Windows注册表相关概念

  什么是注册表?

  注册表是Windows操作系统、各种硬件设备以及应用程序得以正常运行的核心“数据库”,存有硬件、软件和用户信息。注册表由含有“键”和“值”的hive文件组成,“键”和“值”与文件夹、文件类似。

  所有的注册表,不是仅仅指我们常说的“SAM、Security、Software、System、Ntuser.dat”这几个文件,而是指搜索出在硬盘中曾今存在过的,并已经被操作系统备份的、自行删除的、用户故意删除的、升级操作系统、被Ghost重新恢复系统等行为造成的丢失的注册表。

  注册表存在哪里?

  1. (Windows Root)\System32\config

  SAM/SECURITY/SOFTWARE/SYSTEM [XP+]

  RegBack folder [7+]

  2. (User Root)\NTUSER.DAT [XP+]

  3. (UserRoot)\AppData\Local\Microsoft\Windows\

  USRCLASS.DAT [7+]

  4.(Windows Root)\AppCompat\Programs\Amcache.

  hve [8+]

  此外,还存在与RP系统还原点、VSC卷影副本、内存、休眠文件以及剩余空间里,等等。

  注:请参考所有系统版本的这些位置。如:带有 “7+” 的位置是否也在Vista系统中出现。

  注册表的值

  注册表的值包含了名称、类型和数据域

  值的类型有以下几种:

  1. REG_SZ - String:以文本形式呈现

  2. REG_DWORD - Double Word:以4字节的二进制形式呈现,通常用于代表0 (00 00 00 00) 或1 (00 00 00 01)

  3. REG_BINARY - Binary :以十六进制形式呈现

  注册表的时间格式

  注册表包含这几种日期时间格式:

  Registry includes date/time formats which include:

  1. FILETIME: 64位值,代表间隔多少个单位为100纳秒的时间(从UTC1601年1月1日开始)。

  2. Unix Time: 32位值,代表间隔多少秒(从UTC1970年1月1日开始)。

  3. DOS Date/Time: 两个16位值,详细记录了当地时间和年月日。

  注册表取证的建议和忠告

  只要你解析注册表,就一定要亲身研究和测试,这一步不能省更不能代替。

  使用工具提取出额外的信息后,一定要保持怀疑的态度并加以验证,因为许多信息可能是“陷阱”!

  真实案例一:

  曾在一个案子中,一个电脑的硬盘镜像分析结果表明,该电脑曾在同一时间同时接入了29个不同的USB!但是这在物理层面上来说根本是不可能的!因此这个分析结果是不可信的。

  真实原因——系统升级时将之前所有的接入记录时间都修改为了升级时间。

  真实案例二:

  同一个USB接入不同电脑中的记录,在使用EnCase分析后发现,这是两个不同序列号的U盘,因此判定为两个不同的U盘。

  真实原因——当Windows没有获取到U盘的序列号时,会自己生成一个序列号,不同的电脑生成的序列号会不同。因此该工具在这一点上的提取信息也不可靠。

  注册表取证的工具分析对比

  前面我们提到过,目前常见的注册表分析工具,一次只能分析单个hive文件,如:

  Eric Zimmerman’s Registry Explorer

  ShellBagsExplorer

  AmcacheParser

  AppCompatCacheParser

  Harlan Carvey’s RegRipper

  (建议下载以上工具操作尝试对比)

  而Arsenal的Registry Recon,不仅能对一台计算机的注册表文件进行分析,还可以对挖掘出来的所有注册表数据进行一次性加载分析,并可以显示出键值来源于某个具体的注册表文件或某个扇区,此外还可以对hive文件进行碎片重组,恢复注册表信息,等等。 下图是使用Rregistry Recon后在注册表取证方面的进步。

Windows注册表分析取证

  这样的效果,超越了目前所有的取证工具的注册表分析结果,可以让调查员得到已被重装系统前的操作系统注册表信息、打开过什么文件、使用过哪些U盘、不同时期的计算机的DHCP IP地址等等,这些本来取证人员认为已经不可能再得到的宝贵证据,Recon竟然都做到了!

Windows注册表分析取证

  Mark在演讲中,在分屏上展示了恢复并重构注册表中的很多实例。他配合使用了SANS培训课程中的Donald Blake案例,清晰地展示出了案例中用户下载Skype,被删除的Dropbox,还有病毒程序的痕迹,找到了在任何的注册表分析工具中都无法找到的信息。(由于案例真实,在此不作详细公开)

  对了,他还专门介绍了Windows 8.1之后出现的注册表清理功能。某些不经常使用的移动存储设备的使用痕迹,将在30天之后被清理。这样将30天之前曾经链接过的不经常使用的U盘痕迹,将永远无法找到。但是通过Registry Recon分析,依然从系统还原点、卷影拷贝、未分配空间保存过的注册表文件或碎片中找到了这些USB设备的使用痕迹。

  注册表路径分析汇总

  敲黑板!看好了,接下来的干货不能再干了!小编已经严重缺水……

  以下是Mark大方分享的多年经验,也就是分析注册表中应该去分析的路径总结!赶快记下来!

 Windows注册表分析取证 
基本分析路径
Windows注册表分析取证

  网络链接记录
Windows注册表分析取证

  实际到过的地理位置
Windows注册表分析取证

  远程访问
Windows注册表分析取证

  文件和文件夹
Windows注册表分析取证

  文件和文件夹
Windows注册表分析取证

  文件和文件夹
Windows注册表分析取证

  程序执行记录
Windows注册表分析取证

  Amcache
Windows注册表分析取证

  系统资源管理器

  申明:本篇内容创意和干货来自于Mark Spencer先生,仅用于学习交流,不可另作他用。

  下面四本书是Mark在注册表取证时强力推荐的,在此分享给大家:

  书籍下载:http://pan.baidu.com/s/1o8yRNGu

  密码:CCFC

Windows注册表分析取证

  总算写完了!不过小编只能算个搬砖工,Mark愿意分享成果的精神才让大家感动!这不,在场的一位取证专家给出了以下评论。

  赞!Mark有至少两点值得学习:

  一是他们和顶尖的论坛讨论微软没公布的东西,并且总结,还写出工具;

  二是他们把取证技术和病毒分析甚至和黑客技术结合,能够不以枯燥的取证工作为出发点,从精湛的技能角度考虑问题,怀疑问题,才能一次次颠覆美国那些专家证人。

  所以我们得把Mark学习的网站弄到手,再买几本ntfs的书,时常从Mark角度检讨之前遇到的案件。当然,下次开会再把Mark叫来,了解他们今年又学了什么东西。