Windows注册表取证指南:黑客活动调查
2008-09-10 09:57:26 来源:WEB开发网C: reg query HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU
幸运的是,当涉及到注册表索引时,reg指令通常是不灵敏的,因此研究者不必记住大写字母属于哪个注册表索引的名称。在调用该reg指令时,我经常全部使用小写字母,因为这样的话打字快,而且我一般记不住哪个地方应该用大写字母。上述指令的输出,不论是否使用了大写字母,都可能会显示攻击者运行了sol.exe(即Windows纸牌游戏),接着是cmd.exe指令界面。攻击者随后可能会运行lusrmgr.msc GUI,以添加或删除用户;或者是services.msc控制面板,以改变服务的配置。我曾经历了这样的情况:攻击者输入这样的句型“net use * [machine][share] [password] /u:[user]”,使用“开始→运行...”来设置文件共享。在我们的调查研究中,注册表索引中的信息是有用的,可以找到黑客的目标是哪个系统。请注意,这部分注册表中的历史信息只存储了键入到“开始→运行...”中的那些项目,并且没有存储通过“开始>菜单”中的其它地方调用程序的历史记录。此外,cmd.exe的指令界面历史也没有存储在注册表中,并且这些指令也不是按时间顺序存储的。尽管这样,如果黑客控制了计算机的GUI,“开始→运行...”历史记录对于研究者而言仍然是非常有用的。
注册表中另一个附近的设置对研究者而言也是非常有用的,即RecentDocs值(存放在HKCUSoftwareMicrosoftWindowsCurrentVersionExplorer RecentDocs),它可以显示当前登录到系统的用户最近所打开的文件名。这些文件是按扩展类型存储的,比如,Word文件存储为.doc格式,或者PowerPoint文件存储为PPT格式。不幸的是,文件路径和文件名称都以初始的二进制代码储存,而不是以无格式的ASCII码形式存储。因此,reg命令行工具将输出一系列十六进制的数值,不显示将其翻译为人类可读的文本。不使用reg指令,双击一个特殊设置,注册表编辑器GUI将会转换成二进制数值。举例来说,一名研究者可以使用注册表编辑器来浏览到:
更多精彩
赞助商链接