一、注册表取证概念
1、注册表是Windows系统存储关于计算机配置信息的中央数据库,是系统的核心。注册表中的数据是以二进制的形式存储的,这个数据库存放有计算机硬件和软件的配置信息、应用软件和文档文件的关联关系以及各种网络状态信息和其他数据
2、注册表取证时应着重检查一下项目:硬件配置信息(主板型号、BIOS版本、系统时间等)、系统配置信息(机器名、安装时间、关机时间、安装版本、用户列表、网络信息等)、使用者信息(用户名、密码、上网记录、MRU、外置设备等)
二、关键键值
2.1 依次点击“开始”->“运行”,输入“regedit”打开“注册表编辑器”,依次展开“HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS”,此处是系统的硬件配置信息,包括主板信息、BIOS释放时间、BIOS型号等。如图所示
2.2 查看完整的计算机名,依次展开
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName”。如图所示
2.3 查看安装信息,包括注册组织--RegisteredOrganization,注册人--RegisteredOwner,产品名称--ProductName,安装路径--SystemRoot,版本名称--CurrentVersion,版本号--CurrentBuildNumber,Service Pack版本号--CSDVersion,操作系统安装时间--InstallDate(C/UNIX文件时间格式)。
依次展开“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion”。如图所示
1.4 挂载设备列表MountedDevices保存着曾经挂载过的有各自固定卷名和内部标识符的各种设备的列表,这个键也详细列出了所有曾经被分配过盘符的USB闪存盘和外置的DVD/CDROM设备。在其中,以“\DosDevices\”开始,以盘符字母结尾的值包含着被挂载过的特殊设备的信息。如果“\DosDevices\F”的开始位里有“\?? \Storage#RemoveibleMedia”表示有一个USB盘插入过计算机的USB端口。依次展开注册表“HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices”。如图所示
1.5 挂载设备列表Volume中按各自的设备GUID(全局唯一标识符)分别在子键中保存着信息。其中的data键值信息更为详尽,包括卷标、分区格式等。依次展开注册表“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume”,查看某一设备的data键值。如图所示
电脑1.6 USB设备挂载信息,(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB)保存着USB存储设备的更多信息。
1.7 MRU(Most-Recently-Used)数量众多,包括Office应用都有MRU,如(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU),这个键保存着Windows的公用对话框历史记录(实验环境没有挂载设备所以没有注册表)。如图所示
思考
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU”这里的MRU的含义?
三、回收站取证
1、 电脑 被删除的信息往往包含着使用者的重要信息,对于被删除文件的恢复,一直是电子数据取证的重要部分。在Windows操作系统中,用户选择删除一个文件后,文件没有真正的删除,而是进入了回收站。通过分析回收站可以知道被删除文件的信息,包括原始路径、删除时间和文件大小,可以利用它随时恢复文件
2、回收站目录中,每个删除文件都会设立一个回收站记录文件,在本实验中,回收站位置为“C:\$Recycle.Bin\<USER SID>”。在NTFS文件系统中,回收站以SID(安全标识符)来区别不同用户的回收站信息
四、确定用户是否启用回收站
右击回收站图标,在快捷菜单中选择“属性”,在“选定位置的设置”中,如果选中了“不将文件移到回收站中。移除文件后立即将其删除”则意味着删除文件不会保存在回收站中,若删除文件时使用“shift+delete”组合键同样不会保存删除文件到回收站中。如图所示
五、回收站文件分析
5.1 Windows Server 2008操作系统会为每个被删除文件建立一个删除记录,通过分析每个删除记录,可以了解文件的原始信息。删除文件信息的保存位置为“C:\$Recycle.Bin\<USER SID>”。查看当前用户SID。如图所示
电脑5.2 进入回收站目录并查看内容。如图所示
5.3 当一个文件被删除时,原始的删除文件被以“$R”作为开头重命名,后面跟着随机生成的字符或数字组合,后缀名与原文件一致。与此同时,生成一个以“$I”开头的文件,后缀名及后面的字符或数字组合与“$R”开头的文件相同。以“$I”开头的文件为对应“$R”开头的文件的回收站记录文件,当回收站被清空时,两个文件会被同时删除。
5.4 “$I”开头的回收站记录文件主要包含以下删除记录信息:被删除文件原始路径、被删除文件大小、被删除文件的删除时间(64位Windows时间)。这些信息都是以Unicode编码存储,每个回收站文件的大小都是544字节。
5.5 输入命令“WinHex $I9N8010.exe”(若没有$I9N8010.exe 文件 可以在2.3步骤查看的结果中选一文件查看),用WinHex打开一个以“$I”开头的记录文件查看其内部结构。如图所示
5.6 回收站记录文件的文件结构为:8字节的文件头,偏移量为0x00;8字节的被删除文件大小,偏移量为0x08~0xF;8字节的文件删除时间(64位Windows时间),偏移量为0x10~0x17;0~520字节的被删除的文件名(全路径),偏移量为0x18~0x21F。在上步打开的记录文件中可以看得出被删除的文件名。如图所示
思考:如何通过注册表禁用回收站?
电脑