浅谈Windows注册表取证分析

注册表含义：

注册表是用于存储Windows系统用户，硬件和软件的存储配置信息的数据库。更是计算机犯罪取证中的一个宝库,它可以跟踪pc用户的活动，连接到电脑系统的各种设备，包括闪存驱动器，硬盘驱动器，手机，平板电脑等的唯一标识符，在什么时间使用软件被使用过，浏览过什么网站页面以及文件，系统最后一次使用时间,以及系统启动项改动，计算机犯罪取证人员可以根据注册表的信息，对其取证分析。

如何进入注册表(这里以Windows7系统为例子)?

在电脑右下角点击系统图片后,在搜索框里输入regedit，随后按下回车enter键即可。

蜂巢：

在注册表中，有根文件夹。这些根文件夹被称为蜂巢。 以下是5个注册表的配置单元：

注册表结构：

注册表由键、子键和值项构成，一个键就是分支中的一个文件夹，而子键就是这个文件夹中的子文件夹，子键同样是一个键。一个值项则是一个键的当前定义，由名称、数据类型以及分配的值组成。一个键可以有一个或多个值，每个值的名称各不相同，如果一个值的名称为空，则该值为该键的默认值。通常，值是0或1，意味着开或关，也可以包含通常以十六进制显示的更复杂的信息。

注册表信息取证价值：

对于计算机取证人员来说注册表无疑是块巨大的宝藏。通过注册表取证人员能分析出系统发生了什么，发生的时间以及如何发生的等。

注册表中的无线证据：

许多黑客会通过攻破目标网络的无线来进行入侵。这种情况如果调查人员对提取的IP进行溯源，往往会最终定位在邻居家或周围其他无线AP。

例如早在2012年1月，一位匿名者成员John Borrell III，就曾入侵了盐湖城和犹他州警察局的电脑系统。最终联邦调查局通过追踪，定位到了俄亥俄州托莱多的祝福圣礼教堂的Wi-Fi AP地址。黑客显然是破解了教堂无线AP的密码，然后利用该IP在互联网上使用，以达到隐藏自己的目的。最终，联邦调查局还是通过各种调查技术以及侦察工作找到了他。最终Borrell在联邦监狱被定罪，并被判处两年有期徒刑。

1.在注册表中我们取证到连接过的AP的SSID名称：

通过以上注册表路径可以查到，经实践证明

在以上位置我们可以找到机器连接到的无线接入点的GUID列表。我们点击其中的任意一个，它都将为我们显示一些关于无线的详细信息，其中包括SSID名称和以十六进制表示的最后连接日期。

2.在注册表中我们取证到该电脑系统连接过的设备信息：(这里以usb设备为例)

使用外设对电脑系统进行攻击，入侵，盗取重要资料的案例时常发生

想象一下在某些场景中，攻击者可能在你的电脑插入了一个USB设备，并拷贝走了你大量重要的数据文件。这时我们就可以通过以下键值，来查找USB存储设备插入和使用的证据。

通过以上注册表路径可以查到，该电脑系统连接过的USB信息

如上图所示，当我们点击USB存储标识符时，它会在右侧窗口中显示全局唯一标识符（GUID），FriendlyName和硬件ID等。

这里笔者确实在此PC系统连接过闪迪SanDiskUSB外设。

3.在注册表中我们取证到该电脑系统使用网络IP等信息:

我们可以通过以下路径:

如下所示，我们可以找到分配给接口的IP地址，子网掩码以及DHCP服务器租用IP的时间。这样，我们就可以判断嫌疑人在入侵或犯罪时是否使用了某个特定的IP。

由于个别原因,这里笔记就不介绍获取最后一次使用系统时间,以及浏览的网站网页链接地文章以及其他方面的取证。

另外，中国对于信息安全越来越重视，据统计人才缺陷是70W，在去年信息产业部和人事部发布全国计算机技术与软件专业技术资格考试中增加了信息安全工程师。