Windows 注册表取证实践-导出注册表副本

Windows 注册表取证实践-导出注册表副本

作者 应急响应

在Windows注册表基础中已经介绍了注册表的详细信息,本文主要对注册表进行取证实践,制作系统镜像导出注册表副本。

获取注册表配置单元

在应急响应事件发生期间,我们必须获取完整的磁盘镜像进行分析。我们可以通过将工具安装到我们的 PC 上并导航到配置单元位置来提取配置单元。

然而在事件发生期间制作磁盘镜像的时间非常长,具体取决于磁盘的大小。而时间在事件发生期间至关重要,不想浪费任何时间,我们可以根据需要仅获取注册表配置单元或相关磁盘位置。 

FTK Imager创建磁盘镜像

https://www.exterro.com/digital-forensics-software/ftk-imager

注册表配置单元文件是关键的系统文件,因此 Windows 在它们处于活动状态时会锁定它们。锁定这些文件有助于防止未经授权的用户或恶意软件修改或删除它们,否则会导致系统出现严重问题。这些文件被称为系统保护文件。我们可以使用专门设计的工具(如 FTK imager)来获取这些受保护文件的副本。所以必须以管理员身份启动 FTK imager 。

File -> Create Disk Image。

选择源意味着选择我们想要添加证据的磁盘类型。

  1. 物理驱动器:连接到计算机的驱动器,如机械硬盘,固态硬盘等。此驱动器包含物理硬件的全部容量,已分配和未分配的空间。这种占用空间通常更大,但允许恢复已删除的文件/内容。
  2. 逻辑驱动器:逻辑驱动器和物理驱动器类似,比如C盘、D盘。但未分配的空间不存在。
  3. 镜像文件:如果我们想使用获取的磁盘映像并从中提取出特定的文件/内容,我们可以使用此源。
  4. 文件夹的内容:这允许我们从我们想要的文件夹中获取所有数据。此选项仅包含指定的逻辑空间folder。可以选择物理、逻辑或最后一个,同时从活动系统中获取。

我们将选择逻辑驱动器,然后选择要从中获取数据的驱动器。Windows通常安装在C盘中,因此我们将选择此驱动器。

由于整个C盘的容量太大了,没有位置可以存储镜像文件,这里我实际选择的是对C:\Windows 目录做的镜像。

可以将C盘的镜像创建好后放在其他磁盘目录下,注意制作镜像会等待很长时间。

然后在对应目录下就能看到生成的镜像文件。

挂载镜像

选择 Image Mounting,点击下一步。

注意这里只用选择后缀为ad1的镜像文件即可。

我们导航到的C:\Windows\System32\config目录,其中存储了我们的注册表的配置单元。

系统自带的Regedit

Regedit(注册表编辑器)是 Windows 操作系统中的一个实用程序,允许用户查看和编辑注册表。使用 Regedit,可以查看、创建和修改注册表项和值,以及从注册表导入和导出数据。它是一个功能强大的工具,可用于配置操作系统中的各种设置并解决问题。但是使用 Regedit 时必须非常小心,因为更改注册表可能会产生意想不到的后果,如果操作不正确,甚至会导致系统出现严重问题。

注意: Regedit 默认存在于 Microsoft Windows 中。要打开 Regedit,可以转到任务栏上的“搜索”并搜索 Regedit:

可以在顶部搜索面板上写下关键路径,这样我们就能直接找到目标。

Eric Zimmerman 的 Registry Explorer

Eric Zimmerman 有一套通常称为 EZ 工具的工具,这些工具都与数字取证和事件响应有关。我们选择Registry Explorer而不是 Regedit 的原因是注册表资源管理器允许我们调查实时配置单元以及离线配置单元。它还会解析事务日志,从而丰富我们的配置单元以提供全面的可见性。

https://ericzimmerman.github.io/# !index.md

注意:需要以管理员身份运行,避免出现问题。

Live Hives

转到“文件”并单击“实时系统”。这允许我们加载工具中的 1 个、2 个或所有配置单元。用户选项允许我们选择系统上存在的任何用户特定配置单元。

这里我们加载 SAM 配置单元作为示例。

大多数数据都位于“ROOT”键下。还可以分析相关的已删除记录,因为这通常包含最新配置单元中不存在的已删除/已修改的值。

这里打开Users的子键,可以看到Registry Explorer展示效果会比Regedit直观很多。

Offline Hives

我们将加载在上面使用FTK制作的镜像加载离线的注册表配置单元。需要先挂载到新的驱动器。

回到Registry Explorer,我们需要清除上一步中已加载的配置单元。转到“文件”,然后单击“卸载所有配置单元”。现在,再次转到“文件”,然后单击“加载配置单元”。

它会提示再次选择文件。程序将加载的每个配置单元提示此脏配置单元对话框。

如上图中看到的,出于安全目的,它会要求确认“针对此配置单元重放事务日志”。需要按住 SHIFT 按钮的同时选择安全事务日志。

Post Views: 27
赞赏

微信赞赏支付宝赞赏
Zgao

愿有一日,安全圈的师傅们都能用上Zgao写的工具。

发表评论