注册表中的证据
前置知识
注册表的配置单元:
HKEY_USERS:包含所有加载的用户配置文件
HKEYCURRENT_USER:当前登录用户的配置文件
HKEY_CLASSES_ROOT:包含所有已注册的文件类型、OLE等信息
HKEYCURRENT_CONFIG:启动时系统硬件配置文件
HKEYLOCAL_MACHINE:配置信息,包括硬件和软件设置
存放位置:
HKLM\BCD: %SystemRoot%\system32\config\BCD-Template
HKLM\SYSTEM: %SystemRoot%\system32\config\SYSTEM
HKLM\SAM: %SystemRoot%\system32\config\SAM
HKLM\SECURITY:%SystemRoot%\system32\config\ SECURITY
时间种类:
FILETIME:64位值,代表间隔多少个单位为100纳秒的时间(从UTC1601年1月1日开始)
Unix Time:32位值,代表间隔多少秒(从UTC1970年1月1日开始)。
DOS Date/Time:两个16位值,详细记录了当地时间和年月日。
数据类型:
REG_SZ:字符串类型,文本字符串
REG_BINARY:二进制类型,不定长度的二进制值,以16进制形式显示
REG_DWORD:双字,32 位的二进制值,显示为 8 位的十六进制值
REG_MULTI_SZ:多字符串,有多个文本值的字符串,字符串间用 nul 分隔、结尾两个 nul
REG_EXPAND_SZ:可扩展字符串,包含环境变量的字符串
注册表中的证据
通过Autoruns我们可以获得如下:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components
HKLM\SOFTWARE\Classes\Protocols\Filter
HKLM\SOFTWARE\Classes\Protocols\Handler
HKCU\Software\Classes\*\ShellEx\ContextMenuHandlers
HKLM\Software\Classes\Folder\ShellEx\DragDropHandlers
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
HKLM\Software\Wow6432Node\Microsoft\InternerExplorer\Extensions
HKLM\System\CurrentControlSet\Services
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers
HKCU\SOFTWARE\Classes\Htmlfile\Shell\Open\Command\(Default) HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries
HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64
HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order HKLM\Software\Microsoft\Office\Outlook\Addins HKLM\Software\Microsoft\Office\Excel\Addins
HKLM\Software\Wow6432Node\Microsoft\Office\Excel\Addins HKLM\Software\Microsoft\Office\PowerPoint\Addins
HKLM\Software\Wow6432Node\Microsoft\Office\PowerPoint\Addins HKLM\Software\Microsoft\Office\Word\Addins
HKLM\Software\Wow6432Node\Microsoft\Office\Word\Addins
无线证据:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles
时间、编号
最近访问文件:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
USB设备:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB\
网络相关:
IP地址,子网掩码、DHCP服务器租用IP的时间HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces
访问记录:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\TypedURLs
挂载设备:
HKEY_LOCAL_MACHINE\System\MountedDevices