Windows注册表取证指南：黑客活动调查

核心提示： HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs.doc在那里，系统会显示目前登录用户访问的最后十个 .doc文件，Windows注册表取证指南：黑客活动调查(3)，双击那里的任何一个值，研究者就可以使得注册表编辑器以

HKCUSoftwareMicrosoftWindowsCurrentVersionExplorerRecentDocs.doc

在那里，系统会显示目前登录用户访问的最后十个 .doc文件。双击那里的任何一个值，研究者就可以使得注册表编辑器以可读的ASCII形式显示文件路径和名称。

来自存储在注册表中的用户活动的多余遗漏物与Internet Explorer有关。特别是，下面的指令会显示所有的URL，这些URL是用户键入到IE中，并使其登录到给定的网站。

C:> reg query "hkcusoftwaremicrosoftinternet explorertypedurls"

注意：由于“internet”和“explorer”之间的间隔，需要将引号放在注册表名称的两边。此外，也要注意我已经回复到我的“正常”方式：使用所有带有reg指令的低端情况。有了这一指令的输出，研究者就可以收集到重要的信息，这些是关于用户在哪里上网的信息，键入一个URL，可能使系统进入色情或者其它罪恶的网站。

重要的是要注意，存储在注册表这一部分中的数值的局限性。浏览器输入的地址记录并不能显示全部的浏览历史，比如搜索引擎查询、点击链接内置网页，或恶意软件促使系统在没有键入URL的情况下访问的网址。不过，浏览器输入的地址记录的输出是非常有用的，可以帮助研究者确定嫌疑犯的动机。这是一个很好的迹象，如果用户特意在浏览器中键入URL，表明他希望系统进入一个特定的网址。

注册表中对研究者有用的另一个端口与WinVNC阅读器有关，WinVNC阅读器可用于远程控制其它系统的GUI。当用户调用VNC Viewer，与另一个机器进行连接并控制，WinVNC存储了系统名称或者IP地址（如果使用了一个除TCP5900的VNC默认端口以外的端口，它还会存储端口数值）。因此，研究者可以有黑客进入到的系统的历史记录，这些系统是黑客使用这条指令进而控制其可视的GUI。

C:> reg query hkcusoftwarerealvncvncviewer4mru

再次说明，我已经参加了研究，在研究中这条指令的输出真的有助于获得深入的信息，可以了解黑客突然袭击一个目标环境时，他都做了什么。

正如我们所看到的，实际上，对于当前机器的登录用户所采取的许多行动而言，注册表扮演的角色类似于一个日志。在这些简短的技巧中，我们涵盖了一些用于分析的最有用的领域，但是，我想要鼓励读者实施自己的注册表探索，以找到对研究者而言有用的信息。单击打开regedit.exe，并且查看HKCUSoftware的内部，挖掘可能有助于解决鉴定研究之谜的“黄金”。在下个月的技巧中，我们将研究注册表的HKLM部分，进而找到整个系统的有用信息，这些信息是关于已经运行系统的，而不仅仅是当前登录用户的信息。