Windows注册表取证指南:黑客活动调查
2008-09-10 09:57:26 来源:WEB开发网HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs.doc
在那里,系统会显示目前登录用户访问的最后十个 .doc文件。双击那里的任何一个值,研究者就可以使得注册表编辑器以可读的ASCII形式显示文件路径和名称。
来自存储在注册表中的用户活动的多余遗漏物与Internet Explorer有关。特别是,下面的指令会显示所有的URL,这些URL是用户键入到IE中,并使其登录到给定的网站。
C:> reg query "hkcusoftwaremicrosoftinternet explorertypedurls"
注意:由于“internet”和“explorer”之间的间隔,需要将引号放在注册表名称的两边。此外,也要注意我已经回复到我的“正常”方式:使用所有带有reg指令的低端情况。有了这一指令的输出,研究者就可以收集到重要的信息,这些是关于用户在哪里上网的信息,键入一个URL,可能使系统进入色情或者其它罪恶的网站。
重要的是要注意,存储在注册表这一部分中的数值的局限性。浏览器输入的地址记录并不能显示全部的浏览历史,比如搜索引擎查询、点击链接内置网页,或恶意软件促使系统在没有键入URL的情况下访问的网址。不过,浏览器输入的地址记录的输出是非常有用的,可以帮助研究者确定嫌疑犯的动机。这是一个很好的迹象,如果用户特意在浏览器中键入URL,表明他希望系统进入一个特定的网址。
注册表中对研究者有用的另一个端口与WinVNC阅读器有关,WinVNC阅读器可用于远程控制其它系统的GUI。当用户调用VNC Viewer,与另一个机器进行连接并控制,WinVNC存储了系统名称或者IP地址(如果使用了一个除TCP5900的VNC默认端口以外的端口,它还会存储端口数值)。因此,研究者可以有黑客进入到的系统的历史记录,这些系统是黑客使用这条指令进而控制其可视的GUI。
C:> reg query hkcusoftwarerealvncvncviewer4mru
再次说明,我已经参加了研究,在研究中这条指令的输出真的有助于获得深入的信息,可以了解黑客突然袭击一个目标环境时,他都做了什么。
正如我们所看到的,实际上,对于当前机器的登录用户所采取的许多行动而言,注册表扮演的角色类似于一个日志。在这些简短的技巧中,我们涵盖了一些用于分析的最有用的领域,但是,我想要鼓励读者实施自己的注册表探索,以找到对研究者而言有用的信息。单击打开regedit.exe,并且查看HKCUSoftware的内部,挖掘可能有助于解决鉴定研究之谜的“黄金”。在下个月的技巧中,我们将研究注册表的HKLM部分,进而找到整个系统的有用信息,这些信息是关于已经运行系统的,而不仅仅是当前登录用户的信息。
更多精彩
赞助商链接