登錄檔位置 詳解windows登錄檔分析取證

2021-10-16 07:55:48 字數 2631 閱讀 5129

什麼是登錄檔

登錄檔是用於儲存windows系統使用者,硬體和軟體的儲存配置資訊的資料庫。雖然登錄檔是為了配置系統而設計的,但它可以跟蹤使用者的活動,連線到系統的裝置,什麼時間什麼軟體被使用過等都將被記錄在案。所有這些都可用於取證人員,分析溯源使用者的惡意或非惡意行為。

登錄檔的配置單元

在登錄檔中,有根資料夾。這些根資料夾被稱為蜂巢。 以下是5個登錄檔的配置單元:

hkey_users:包含所有載入的使用者配置檔案hkeycurrent_user:當前登入使用者的配置檔案hkey_classes_root:包含所有已註冊的檔案型別、ole等資訊hkeycurrent_config:啟動時系統硬體配置檔案hkeylocal_machine:配置資訊,包括硬體和軟體設定

登錄檔結構

登錄檔由鍵、子鍵和值項構成,乙個鍵就是分支中的乙個資料夾,而子鍵就是這個資料夾中的子資料夾,子鍵同樣是乙個鍵。乙個值項則是乙個鍵的當前定義,由名稱、資料型別以及分配的值組成。乙個鍵可以有乙個或多個值,每個值的名稱各不相同,如果乙個值的名稱為空,則該值為該鍵的預設值。通常,值是0或1,意味著開或關,也可以包含通常以十六進製制顯示的更複雜的資訊。

訪問登錄檔

在執行輸入regedit 就可以訪問登錄檔

登錄檔中的無線證據

hkeylocalmachine\software\microsoft\windows nt\currentversion\networklist\profiles

recentdocs鍵

可以通過檔案擴充套件來跟蹤系統上使用或開啟的最新文件

hkeycurrentuser\software\microsoft\windows\currentversion\explorer\recentdocs

typedurls鍵

當使用者在internet explorer中輸入url時,該值將被儲存在以下登錄檔中:

hkeycurrentuser\software\microsoft\internet explorer\typedurls

當開啟該鍵時,它會為我們列出使用者使用ie訪問的最後url瀏覽記錄。在這些記錄中或許我們可以找到惡意軟體的**,或在民事或政策違規類的調查中,獲知使用者正在看的內容是什麼

ip位址

啟動項在登錄檔中的位置

我們經常需要找到哪些應用程式或服務會在系統啟動時被啟動。因為攻擊者很可能會通過這種方式來啟動他們在目標機器上種植的木馬程式,以與遠端伺服器建立連線。我們可以在以下位置找到該啟動項:

這些子項中指定的任何軟體/位置都將在每次系統啟動時啟動。rootkit和其它惡意軟體通常會被放置在這裡。

runonce啟動

如果攻擊者只是希望軟體在啟動時執行一次,則可以在此處設定子鍵。

hkeylocalmachine\software\microsoft\windows\currentversion\runonce

啟動服務

下面的鍵列出了系統啟動時將會啟動的所有服務。如果鍵值設定為2,服務將自動啟動;如果設定為3,則必須手動啟動服務;如果設定為4,則該服務被禁用。

hkeylocalmachine\system\currentcontrolset\services

啟動遺留應用程式

執行16位應用程式時,列出的程式執行在:

hkeylocalmachine\system\currentcontrolset\control\wow

特定使用者登入時啟動

在以下鍵中,鍵值將在特定使用者登入時執行。

hkeycurrentuser\software\microsoft\windows\currentversion\run

掛載裝置

如果攻擊者使用任何必須掛載的硬體裝置來讀取或寫入資料(cd-rom,***,硬碟驅動器,快閃儲存器驅動器等),登錄檔將記錄已掛載的裝置。 此資訊儲存在:

通過本文的學習,我們知道登錄檔不僅僅是乙個用於儲存windows系統使用者,硬體和軟體的儲存配置資訊的資料庫,更是計算機犯罪取證中的乙個寶庫

windows登錄檔詳解

登錄檔,windows中最強大的工具。如果說windows圖形介面是井,應用程式的執行是水,那麼登錄檔就是我們取水的桶,沒有登錄檔這個 桶 大多數程式就只能看不能用。對它簡單地改動都能讓你單擊某個程式卻不能執行,讓你的各種執行奇慢無比,在你的各種狀態列留下各種無聊的資訊。登錄檔聽起來很高深,其實挺簡...

登錄檔學習筆記 登錄檔的位置

20180228 今天學習登錄檔的位置 文中說 在windows 98 me作業系統中,登錄檔主要由 system.dat 和 user.dat 這兩個登錄檔資料庫檔案組成。通常是在 c windows 中。system.dat包含系統硬體和軟體的設定,user.dat則儲存著與使用者有關的資訊。知...

windows登錄檔 登錄檔的認識

登錄檔的特點 1.登錄檔允許對硬體 系統引數 應用程式和裝置驅動程式進行跟蹤配置,這使得修改某些設定後不用重新啟動成為可能。2.登錄檔中登入的硬體部分資料可以支援高版本的即插即用特性。當windows檢測到機器上的新裝置時,就把有關資料儲存到登錄檔中,另外,還可以避免新裝置與原有裝置之間的資源衝突。...