本文的目的是让你深入领会Windows注册表及其所包罗的厚实信息。现在,对于大多数治理员和取证剖析师而言,注册表的信息含有厚实的可行使信息。

除了设置信息外,Windows注册表还保留有关最近接见的文件的信息和大量关于用户流动的信息。

事实是,注册表对于治理员和取证观察职员而言都是名副实在的信息宝藏。

什么是注册表?

若是你还记得DOS和Windows的早期版本(3.1、3.11等等),系统的设置信息(驱动程序、设置) 主要由几个文件治理,尤其是autoexec.bat,config.sys,win.ini (在Windows上)和system.ini。

这些文件中的种种设置确定了要加载的程序以及系统的外观和对用户输入的响应,厥后的Windows版本将这些文件替换为注册表,该注册表是一其中央条理数据库,用于维护应用程序、硬件装备和用户的设置设置。

Windows注册表结构的外观先容

当治理员或取证职员期望打开Regedit.exe时,他会看到带有五个根文件夹或“hive”的树状结构。hive是基于Hadoop的一个数据客栈工具,用来举行数据提取、转化、加载,这是一种可以存储、查询和剖析存储在Hadoop中的大规模数据的机制。hive数据客栈工具能将结构化的数据文件映射为一张数据库表,并提供SQL查询功效,能将SQL语句转酿成MapReduce义务来执行。Hive的优点是学习成本低,可以通过类似SQL语句实现快速MapReduce统计,使MapReduce变得加倍简朴,而不必开发专门的MapReduce应用程序。hive十分适合对数据客栈举行统计剖析。

HKEY_CLASSES_ROOT hive包罗了使用哪个应用程序打开系统中种种文件的设置信息。

HKEY_CURRENT_USER hive是当前登任命户的激活的、加载的用户设置文件。

HKEY_LOCAL_MACHINE hive包罗了大量的系统设置信息,包罗硬件设置和软件设置。

HKEY_USERS hive包罗了该系统所有活跃加载的用户设置文件。

HKEY_CURRENT_CONFIG hive包罗系统启动时使用的硬件设置文件。

注册表检查

MRU列表:

整个或“最近使用过的”列表中的MRU包罗由于用户执行的特定操作而发生的条目,在各个注册表项中,有许多MRU LIS。

注册表会保留这些项目列表,以备未来用户返回使用。这类似于历史纪录和cookie对Web浏览器的作用。

这个项的位置是HKEY_CURRENT_USER\software\microsoft\windows\currentversion\Explorer\RunMRU,其中包罗:

,

USDT场外交易平台

U交所(www.9cx.net),全球頂尖的USDT場外擔保交易平臺。

,

借助RunMRU项提供的信息,检查职员可以更好地领会他们正在观察的用户以及正在使用的应用程序。在上图中,您可以看到用户已经打开了cmd,Notepad,MSPaint等。

USB装备:

只要将装备毗邻到通用串行总线(USB),就会查询驱动程序,并将装备的信息存储在注册表中(Thumb Drive)。

该项存储产物的内容和曾经毗邻到系统的任何USB装备的装备ID值。

INTERNET EXPLORER:

Internet Explorer是Windows操作系统自带的Web浏览器,与许多应用程序一样,它在数据存储中普遍地行使了注册表。

Internet Explorer将其数据存储在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs中。

隶属硬件:

导航到以下项HKEY_LOCAL_MACHINE\SYSTEM|MountedDevices,此信息对取证职员可能有用,由于它解释操作系统已识别出任何已毗邻的存储装备。

若是检查员注重到物理毗邻的装备与此处讲述的装备之间存在差异,则可能解释某些装备在获取证据之前已被移除。

恶意软件:

导航到以下项HKEY_CURRENT_USER \ Software \,对于取证剖析职员而言,此信息将异常有用,由于它可能会看到黑客使用了CyberGhost Vpn,Cyberghost VPN是一种部门免费的VPN服务, 提供种种服务 :匿名冲浪或托管,解锁流媒体和网站,珍爱一小我私人的互联网毗邻免受改动,同时使用不熟悉的Wi-Fi网络,甚至自界说一个设置来完成任何其他VPN你可能梦想的义务。

最近的应用程序:

导航到下面这个项将给出最后接见的应用程序列表HKEY_CURRENT_USER\SOFTWARE\Microsoft\Currentversion\Search\RecentApps的信息。

在这个用户中有大量的应用程序列表,其中一个就是Vmworkstation。

主要的信息可以通过举行高效和有用的取证剖析来获得,因此,你可以通过观察来发现环境中正在举行的恶意流动。

本文翻译自:https://gbhackers.com/windows-registry- *** ysis-tracking-everything-you-do-on-the-system/:

IPFS招商

IPFS招商官网(www.ipfs8.vip)是FiLecoin致力服务于使用FiLecoin存储和检索数据的官方权威平台。IPFS官网实时更新FiLecoin(FIL)行情、当前FiLecoin(FIL)矿池、FiLecoin(FIL)收益数据、各类FiLecoin(FIL)矿机出售信息。并开放FiLecoin(FIL)交易所、IPFS云矿机、IPFS矿机出售、租用、招商等业务。

USDT官网接口声明:该文看法仅代表作者自己,与本平台无关。转载请注明:filecoin招商(www.ipfs8.vip):Windows注册表取证剖析:跟踪在Windows系统中执行的每个程序历程流动
发布评论

分享到:

购买ipfs算力(www.ipfs8.vip):不用洗的衣服来了!但这面料清洁吗?
1 条回复
  1. 手机新2管理端
    手机新2管理端
    (2021-07-30 00:00:57) 1#

    皇冠新现金网www.huangguan.us)是一个开放皇冠即时比分、皇冠官网手机版下载、皇冠足球app下载、皇冠注册的皇冠官网平台。皇冠新现金网平台上登录线路最新、新2皇冠网址更新最快,皇冠体育APP开放皇冠会员注册、皇冠代理开户等业务。

    我要废寝忘食了

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。