Windows注册表检验.docx

Windows 注册表检验一、实验目的通过实验，使用学员了解 Windows 操作系统注册表检验的内容，熟练掌握注册表提取 和分析的方法，为 Windows 操作系统取证打下坚实的基础二、实验内容（一）掌握 Windows 系统注册表存储的位置和文件名称；（二）使用不同的工具检验Windows注册表内容三、实验器材（一） 台式电脑，Windows 2000 / 2003 / XP/2003 操作系统；（二） EnCase、X—Ways Forensics、AccessData Registry Viewer工具；（三） 移动存储设备四、实验方法步骤以班为单位，每2人一组展开作业一） Windows 操作系统注册表存储位置1、 windows95/98/ME 操作系统在 Windows 操作系统中不同的操作系统注册表文件由不同的文件组成 windows95/98/ME 操作系统的注册表文件在 Windows 目录中，包括 System.dat 和 User.dat 两个文件2、 windowsNT/2000/XP/2003 操作系统windowsNT/2000/XP/2003 操 作 系 统 的 注 册 表 文 件 包 括 在 \%SYSTEMROOT%\system32\config\目录中的 system.SAM、SECURITY、software 和 default 五个文件和Documents and Settings目录中每个用户都有的一个NTUSER.DAT文件。

3、 Vista和Win7操作系统Vista 和 Win7 操作系统注册表中增加了一些注册表文件，以下的列表代表了在默认的 Vista系统中的注册表的所有配置单元：C:\Windows\System32\config\Regback\SECURITY C:\Windows\System32\config\Regback\SOFTWAREC:\Windows\System32\config\Regback\DEFAULT C:\Windows\System32\config\Regback\SAMC:\Windows\System32\config\Regback\COMPONENTS C:\Windows\System32\config\Regback\SYSTEMC:\Windows\System32\config\BCD-Template C:\Windows\System32\config\COMPONENTSC:\Windows\System32\config\DEFAULTC:\Windows\System32\config\SAMC:\Windows\System32\config\SECURITYC:\Windows\System32\config\SOFTWAREC:\Windows\System32\config\SYSETM用户的NTUSER.DAT文件文件用户根目录下（\User\username）。

目前Vista和 Win7 使用了 “REGBACK”目录来备份注册表副本，不再使用Windows2000/XP/2003系统所用的 “REPAIR”文件夹现在Vista和Win7包含了一个叫“虚拟注册表”的功能，作为加强安全控制的一部分 该特性确保不让非系统管理员用户对系统注册表的某些部分进行写入，特别是在软件安装过 程中如果一个程序尝试向受保护的注册表键进行写入操作，那么这个安装程序将无缝地被 转向到一个“虚拟”的包含该用户个人注册表配置单元（NTUSER.DAT）的注册表键任 何非管理员对以下注册表HKEY_LOCAL_MACHINE\Software的写入尝试，将被转向到用 户的配置文件的一个虚拟存储器 HKEY_USERS \ ＜UserSID＞_Classes \ VirtualStore \Machine \ Software 中4、操作系统还原点中的注册表文件Windows操作系统的系统还原功能保存一系列的系统还原点在系统变得不稳定或者异 常时，可以将系统还原到以前某个工作正常的配置由此可见，系统还原点备份了相当多有 用的信息虽然备份到还原点中的注册表文件仅是System32\config目录中注册表文件的一 部分。

但是仍能为调查人员提供很多系统以前配置的有用信息，如通过对比SAN文件内容 的分析，能够判断出用户组成员是否发生改变；通过对比系统之前和之后安装软件的变化， 可以得出用户删除了哪些软件和安装了哪些新软件系统还原点保存在System Volume Information目录中，在系统运行的情况下必须有 System管理权限才能查看在取证过程中一般用取证分析软件用离线的方式查看检验操 作系统还原点中注册表文件的调查内容与方法和调查System32\config目录中的注册表一样二）注册表检验内容注册表是Windows操作系统的核心存储了大量系统相关的配置信息，用户的配置信 息，活动行为信息，甚至一些以明文形式保存的口令，对于计算 机取证调查取证都有着十 分重要的意义1、 操作系统信息HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Window \ CurrentVersion \ProductNAME （操作系统名称）InstallDate （安装日期）Systemroot （系统安装目录）2、 计算机最后关机时间HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Windows \ ShutdownTime3、 计算机共享的文件夹HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Seervices \ lanmanserver \ Share \ ＜共享名＞（如果所在分区是NTFS，那么还有以下注册表键值生成）HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Seervices \ lanmanserver \ Share \ Security \ ＜共享名＞4、 USB移动设备接入情况（用户曾经接入该计算机的所有USB设备清单）HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Enum \ USBSTOR5、 用户最后访问的文档HKEY_CURRENT_USER \ Software \ Microsoft \ CurrentVersion \ Explorer \ RecentDocs6、 IE浏览器地址栏输入的URL地址列表HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ TypedURLs7、 用户最后运行的命令行HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ RunMRU8、 开机自动运行的程序HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Window \ CurrentVersion \ Run HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run9、 本机自动登录的用户名和密码HKEY_LOCAL_MACHINE\Software\Microsoft\Window NT \ CurrentVersion\Winlogon DefaultUserName (默认用户名)DefaultPassword (默认密码) (三)调查方法和工具 实验过程中，一般采用注册表离线调查的方法，即把要检验的硬盘以只读方式接入的检 验工作站用专用的注册表分析软件进行检验。

1、 EnCase 工具检验EnCaseV6案件处理器中有2个模块(Windows案例寝化模块和扫描注册表模块)，该 模块可以方便地提取调查人员最关心的一些信息，并进行相关信息的转化，还可以生成可读 性较强的报告，然后导出报告具体操作步骤如下：(1) 运行EnCase，新建案例，加载证据文件，切换到脚本面板，找到自带脚本“案例 扫描”，并双击运行，勾选案例2) 需要将Windows案例初始化勾选，然后双击进入模块设置3) 选择要扫描的一些信息模块，也可以全部选择4) 脚本运行完成后，转到“书签” (Bookmark)标签页面进行查看提取的各种信息， 然后导出报告2、 X-Ways Forensics 工具检验过程(1)运行X-Ways Forensics，新建案例，加载证据文件后，打开注册表文件 2)为注册表项创建报告(3) 选择 X-Ways Forensics 自带的报告格式文件“Reg Report Keys. txt”(4) 选择路径保存报告，并查看报告3、 AccessData Registry Viewer 检验过程(1) 首先下载AccessData提供的注册表摘要报告模版，然后添加到AccessData Registry Viewer软件安装目录下的Data目录中。

2) 用AccessData Registry Viewer软件打开注册表文件后，调用管理摘要报告3) 调用“预览”或“生成”完整的注册表报告五、实验注意事项(一) 实验过程中，切不可用系统电脑自带的注册表编辑器打开嫌疑硬盘中的注册表， 以免造成不必要的损失二) 在使用工具分析注册表时，嫌疑硬盘一定要使用只读锁和系统电脑连接六、实验作业每组认真完成实验，并写实验报告针对在取证过程中出现的问题进行详细记录，实验结束后，大家进行讨论七、思考题（一）如何采用方式分析检验注册表？（二）分析注册表能不能了解用户使用移动存储设备的具体情况？为什么？。