Windows 取证之注册表

829 阅读7分钟
一、概述

注册表(英语:Registry)是Microsoft Windows操作系统和其应用程序中的一个重要的层次型数据库,用于存储系统和应用程序的配置信息。

早在Windows 3.0推出OLE技术的时候,注册表就已经出现。但是,从Windows 95开始,注册表才真正成为Windows用户经常接触的内容,并在其后的操作系统中继续沿用至今。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。(via 维基百科)

二、注册表的组成结构

注册表由键(key,或称“项”)、子键(subkey,子项)和值项(value)构成的hive文件组成,关于Windows注册表hive格式的详情说明可以参考这篇文章:regf/Windows registry file format specification.md at master · msuhanov/regf · GitHub

注册表的结构是一个树状结构,一个键(key,或称“项”)就是一个节点,子键(subkey)就是这个节点的子节点,子健也是键。键的一条属性被称为一个value(值项),value由名称、类型、数据类型和数据组成。一个键可以有多个值,每个值的名称不同,如果值名称是空,则该值为该键的默认值。

可以打开注册表编辑器查看其结构组成:

img

注册表的主键,也就是主分支有五个,分别是:

  • HKEY_CLASSES_ROOT:包含启动应用程序所需的全部信息,包括扩展名,应用程序与文档之间的关系,驱动程序名,DDEOLE信息,类ID编号和应用程序与文档的图标等。
  • HKEY_CURRENT_USER:包含当前用户的配置信息,比如环境变量,桌面设置等
  • HKEY_LOCAL_MACHINE:包括安装在计算机上的硬件和软件的信息
  • HKEY_USERS:包含计算机的所有用户配置信息
  • HKEY_CURRENT_CONFIG:当前硬件的配置信息。

注册表数据类型主要有以下几种:

  • REG_SZ:字符串类型,文本字符串
  • REG_BINARY:二进制类型,不定长度的二进制值,以16进制形式显示
  • REG_DWORD:双字,32 位的二进制值,显示为 8 位的十六进制值
  • REG_MULTI_SZ:多字符串,有多个文本值的字符串,字符串间用 nul 分隔、结尾两个 nul
  • REG_EXPAND_SZ:可扩展字符串,包含环境变量的字符串

注册表中时间格式有以下几种:

FILETIME:64位值,代表间隔多少个单位为100纳秒的时间(从UTC1601年1月1日开始)

Unix Time:32位值,代表间隔多少秒(从UTC1970年1月1日开始)。

DOS Date/Time:两个16位值,详细记录了当地时间和年月日。

三、注册表的存储

注册表在Windows NT操作系统中被分为多个文件存储,这些文件被称为Registry Hives,每一个文件被称为一个配置单元。

img

主要配置单元有:

  • SYSTEM:对应的注册表分支为HKEY_LOCAL_MACHINE\SYSTEM,对应的存储文件是\Windows\System32\config\SYSTEM,其作用是存储计算机硬件和系统的信息。
  • NTUSER.DAT:对应的注册表分支是HKEY_CURRENT_USER,存储在用户目录下,与其他注册表文件是分开的,主要用于存储用户的配置信息。
  • SAM:分支是HKEY_LOCAL_MACHINE\SAM,存储在C:\Windows\System32\config\SAM文件中,保存了用户的密码信息。
  • SECURITY:对应的分支HKEY_LOCAL_MACHINE\SECURITY,存储在C:\Windows\System32\config\SECURITY文件中,保存了安全性设置信息。
  • SOFTWARE:分支是HKEY_LOCAL_MACHINE\SOFTWARE,文件存储在C:\Windows\System32\config\SOFTWARE中,保存安装软件的信息。

修改注册表的主要方式有:1、使用提供Windows提供的注册表编辑器:%systemroot%\regedit.exe;2、使用reg命令,可以对注册表进行增删改查、导入导出注册表文件(reg文件)、导入导出或加载配置单元(RegHive)等操作;3、使用reg文件,用户可以通过注册表编辑器导出注册表某些项为一个reg文件,反之可以导入一个reg文件将项目还原或者修改。

此外,为了防止注册表出错和损坏,Registry hives还包括注册的事务日志文件和注册表的备份文件。事务日志文件名与注册表文件一致,且在同一个路径中,只是后缀不同。事务日志文件以.LOG为后缀,多个日志后缀会显示LOG1LOG2这样。(如果要查看这些日志文件,需要打开文件夹选项,取消勾选“隐藏受保护的操作系统文件”)

img

备份文件则在\Windows\System32\config\RegBack\路径中。

在发生修改将数据写入到主文件之前,Hive写入器会先将这些数据存储在事务日志文件中,如果写入事务日志时发生错误(比如系统崩溃),则主文件不会受影响。如果写入主文件时发生错误,可以通过事务日志包含的数据恢复主文件。

四、获取和分析Hive

要获取Hive,可以通过reg save命令创建Registry Hives的副本。(在管理员权限的命令提示符中执行)

C:\WINDOWS\system32>reg save hklm\sam c:\sam
操作成功完成。

C:\WINDOWS\system32>

分析Hive可以使用开源软件RegRipperRegRipper是一个用perl编写的开源工具,可以从注册表中提取和解析各种信息(Key、value、data)以供取证人员进行分析。

RegRipper项目地址:github.com/keydet89/Re…

打开RegRipper软件,选择Hive文件,设置好报告存储路径,选择好Profile,然后点Rip It

img

它会创建两个文件,一个是日志文件,一个是报告文件

img

打开SAM hive的分析报告文件,可以看到用户和用户组的详细信息

img

img

五、取证实战

来源:Cynet应急响应挑战赛

题目描述:Podrick 说在2020 年 2 月 3 日午餐时间(下午 12:00 左右),有一个恶意的 USB 设备插入了他的电脑。他还提到他看到他的一位同事——Theon G,手里拿着 USB设备离开了他的办公室。但Theon 声称他进入办公室是为了拜访 Aria(与Podrick在同一办公室)。见Aria不在,他便离开了办公室。Podrick没有锁屏的习惯,他怀疑Theon趁他不在的时候窃取了他的数据。

提示:1、检查Podrick的电脑;2、确定2020年2月3日,是否有USB设备连接到Podrick的PC?;3、提交可疑 USB 设备的Serial/UID

题目提供的文件是几个Hive文件

img

这些文件代表什么,在前面的小节中都已经介绍过了,除了Amcache.hve,这是Win8及更高版本的系统才有的。它存储与执行程序相关的信息,当用户执行某些操作(例如运行基于主机的应用程序、安装新应用程序或从外部设备运行便携式应用程序)时,它会记录程序相关的信息:如程序的创建时间、修改时间、名称、描述、程序厂商和版本、程序的执行路径、SHA-1哈希值等。即使程序从系统中删除,这些信息依然存在。

回到题目,我们要调查USB使用痕迹,根据前面的知识,我们需要分析SYSTEM这个Hive文件。

打开RegRipper工具,加载提供的SYSTEM文件,导出分析报告。

img

打开报告文件,通过搜索USBSTOR(这个key(SYSTEM\CurrentControlSet\Enum\USBSTOR)存储了任何曾经连接过系统的USB设备的产品信息和设备ID),可以找到有关USB设备的注册表信息。

img

通过查找和筛选比对,最终我们找到2020-12:12:32有一个USB设备插入了电脑,Serial/UID是: 4C530000281008116284

img

参考资料:

Registry Hives - Win32 apps | Microsoft Docs docs.microsoft.com/en-us/windo…

注册表 - 维基百科,自由的百科全书 zh.wikipedia.org/wiki/%E6%B3…

regf/Windows registry file format specification.md at master · msuhanov/regf · GitHub github.com/msuhanov/re…

本文涉及相关实验:FastIRCollector:Windows取证利器 (FastIR Collector是一个Windows下的取证/信息收集工具,收集的东西揽括了所有你能想到的东西,不限于内存,注册表,文件信息等。本实验将介绍FastIR Collector在windows 7下的使用。)