Windows注册表取证指南:黑客活动调查
2008-09-10 09:57:26 来源:WEB开发网当分析一个受到攻击的Windows系统时,研究人员和系统管理员可以通过审核Windows注册表,收集大量的关于黑客活动的有用资料。Windows注册表是一个在现代Windows电脑中存储数以万计设置的分级数据库。对于研究者来说,Windows注册表包含了大量精彩的信息精华:外部攻击者是否危及到电脑,内部员工是否参与了邪恶的活动,或者恶意软件是否莫名其妙地感染机器。在这篇文章中,TechTarget中国的特约专家将研究通过注册表,调查人员能够收集到关于用户活动的什么信息。下个月,我们将集中讨论调查人员如何能够得到与整个操作系统相关的有用注册表信息。 使用注册表
研究者可以采用几种方法来使用注册表,两个最有用的方法是内置在注册表上基于图形用户界面(GUI)工具和reg命令行工具。注册表包含在Windows中已经十年多了,而注册表命令只包含在更现代化的Windows计算机中,比如XP Pro、2003 Server,、Vista 和2008 Server。这篇文章我们将着重研究reg命令,但是提供一些信息,主要是关于注册表GUI应当安置在何处才会有用。reg命令允许用户查看、更新、输入和输出注册表索引值。但是我们这里的重点是恢复有用的鉴别证据,这样我们将集中关注使用reg命令,从注册表中查询重要的信息。
确定用户已经做了什么事
Windows注册表被分类为hive,hive是注册表中的大部分,专用于电脑的特殊方面。HKCU hive存储了关于电脑上当前登录的用户。假设坏人是某个用户;也许是某个恶意雇员,他坐在计算机的本地控制台前面,并且走开了;或许是一个远程攻击者,他通过远程桌面、终端服务或者虚拟网络计算机(VNC),远程控制其GUI,危及系统安全。这样的攻击者可能已经通过启动→运行…,然后键入需要运行的程序的名称,使用了Windows GUI,在电脑上启动程序或者指令。Windows记录了大部分注册表中当前用户用这种方式执行的最近26项指令。为了得出这方面的信息,研究者应当运行:
更多精彩
赞助商链接