Windows注册表分析:跟踪攻击者在Windows系统上的一举一动

2021-02-25 8,007

 

1.png

 

本文的目的是与大家一起深入深入考察Windows注册表以及其中蕴藏的信息宝藏。对于今天大部分管理员和取证分析人员来说,注册表可能看起来就像一个黑暗的入口。

 

实际上,除了配置信息外,Windows注册表还拥有关于最近访问的文件和用户活动的大量信息。

 

事实上,对于管理员和取证调查人员来说,注册表是一个名副其实的信息金矿。

 

什么是注册表?

 

如果你还记得DOS和早期版本的Windows(3.1,3.11等),系统的配置信息(驱动程序、各种设置)主要通过下面所示的几个文件进行管理,例如autoexec.bat,config.sys,win.ini(windows)和system.ini。

 

这些文件中的各种设置决定了哪些程序将被自动加载,以及系统的外观和对用户输入的响应,后来的windows版本则用注册表取代了这些文件,注册表是一个集中型的层次数据库,用于维护应用程序、硬件设备和用户的配置设置。

Windows注册表的结构外观

当管理员或取证人员运行Regedit.exe时,将会看到的是一个树状结构,其中有五个根文件夹:

 

1.png


  •     HKEY_CLASSES_ROOT:存放应用程序打开系统上的各种文件时使用的配置信息。

  •     HKEY_CURRENT_USER:当前登录用户正在使用的、已经加载的用户配置文件。

  •     HKEY_LOCAL_MACHINE:包含系统的大量配置信息,包括硬件设置和软件设置。

  •     HKEY_USERS:包含该系统所有正在加载的用户配置文件。

  •     HKEY_CURRENT_CONFIG:包含了系统在启动时使用的硬件配置文件。

 

考察注册表

 

MRU清单

 

MRU,整个或“最近使用”的清单包含了由于用户执行的具体操作而产生的记录。

 

注册表保存了这些条目清单,以备用户在将来使用它们,其作用类似于网络浏览器中的历史记录和cookies的功能。

 

这个键的位置是HKEY_CURRENT_USER/software/microsoft/windows/currentversion/Explorer/RunMRU,它包含了以下内容:

 1.png

通过RunMRU键提供的信息,审查人员可以更好地了解他们正在调查的用户和正在使用的应用程序。在上图中,还可以看到用户打开了cmd、记事本、MSPaint等程序。

 

USB设备

当设备连接到通用串行总线(USB)时,都会查询驱动程序,并将设备信息存储在注册表(Thumb Drives)中。

 

这个键存储了任何曾经连接到系统的USB设备的产品内容和设备ID值。所以,取证专家有必要深入考察路径HKEY_LOCAL_MACHINE/SYSTEM/controlset001/Enum/USBSTOR。

 1.png

Internet Explorer

Internet Explorer是Windows操作系统中的原生Web浏览器,它和许多应用程序一样,也会利用注册表来存储数据,其数据存储在HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\TypedURLs中。

 1.png

连接的硬件

为了查找连接的硬件,可以导航到以下键HKEY_LOCAL_MACHINE\SystemMountedDevices。其中的信息对取证人员非常有用,因为它显示了操作系统已识别的所有连接的存储设备。

 

如果安全检查人员注意到物理连接的设备与此处报告的设备之间存在差异,这可能表明某些设备在证据被扣押之前已被移除。

 1.png

恶意软件

导航到下面的键hkey_current_user\software\,其中的信息对于取证检查人员来说将是非常有用的,因为它可以看到黑客是否使用了CyberGhost Vpn,这是用来匿名通信的。

 1.png

最近运行过的应用程序

导航到以下键HKEY_CURRENT_USER\Software\Microsoft\CURRENTVERS\Search\RECENTAPPS,其中的信息将提供上次访问的应用程序列表。

 

在本例中,用户有一个庞大的应用程序列表,其中一个程序是Vmworkstation。

 1.png

通过取证软件,可以高效提取出各种关键信息,这样您就可以调查环境中正在进行的恶意活动了。

 

参考资料

    Indicator Of Attack(IoAs) And Activities SOC/SIEM A Detailed Explanation

    Intrusion Prevention System(IPS) and Its Detailed Functions SOC/SIEM

    Intrusion Detection System (IDS) and Its detailed Function SOC/SIEM

 

原文地址:https://gbhackers.com/windows-registry-analysis-tracking-everything-you-do-on-the-system/


本文作者:mssp299

本文为安全脉搏专栏作者发布,转载请注明:https://www.secpulse.com/archives/153860.html

Tags:
评论  (0)
快来写下你的想法吧!

mssp299

文章数:51 积分: 662

安全问答社区

安全问答社区

脉搏官方公众号

脉搏公众号