此外 , 为了防止注册表出错和损坏 , Registry hives还包括注册的事务日志文件和注册表的备份文件 。事务日志文件名与注册表文件一致 , 且在同一个路径中 , 只是后缀不同 。事务日志文件以.LOG为后缀 , 多个日志后缀会显示LOG1、LOG2这样 。(如果要查看这些日志文件 , 需要打开文件夹选项 , 取消勾选“隐藏受保护的操作系统文件”)
备份文件则在WindowsSystem32configRegBack路径中 。
在发生修改将数据写入到主文件之前 , Hive写入器会先将这些数据存储在事务日志文件中 , 如果写入事务日志时发生错误(比如系统崩溃) , 则主文件不会受影响 。如果写入主文件时发生错误 , 可以通过事务日志包含的数据恢复主文件 。
四、获取和分析Hive 要获取Hive , 可以通过reg save命令创建Registry Hives的副本 。(在管理员权限的命令提示符中执行)
C:WINDOWSsystem32>reg save hklmsam c:sam操作成功完成 。C:WINDOWSsystem32> 分析Hive可以使用开源软件RegRipper , RegRipper是一个用perl编写的开源工具 , 可以从注册表中提取和解析各种信息(Key、value、data)以供取证人员进行分析 。
RegRipper项目地址:
https://github.com/keydet89/RegRipper3.0
打开RegRipper软件 , 选择Hive文件 , 设置好报告存储路径 , 选择好Profile , 然后点Rip It
它会创建两个文件 , 一个是日志文件 , 一个是报告文件
打开SAM hive的分析报告文件 , 可以看到用户和用户组的详细信息
五、取证实战 来源:Cynet应急响应挑战赛
题目描述:Podrick 说在2020 年 2 月 3 日午餐时间(下午 12:00 左右) , 有一个恶意的 USB 设备插入了他的电脑 。他还提到他看到他的一位同事——Theon G , 手里拿着 USB设备离开了他的办公室 。但Theon 声称他进入办公室是为了拜访 Aria(与Podrick在同一办公室) 。见Aria不在 , 他便离开了办公室 。Podrick没有锁屏的习惯 , 他怀疑Theon趁他不在的时候窃取了他的数据 。
提示:1、检查Podrick的电脑;2、确定2020年2月3日 , 是否有USB设备连接到Podrick的PC?;3、提交可疑 USB 设备的Serial/UID
题目提供的文件是几个Hive文件
这些文件代表什么 , 在前面的小节中都已经介绍过了 , 除了Amcache.hve , 这是Win8及更高版本的系统才有的 。它存储与执行程序相关的信息 , 当用户执行某些操作(例如运行基于主机的应用程序、安装新应用程序或从外部设备运行便携式应用程序)时 , 它会记录程序相关的信息:如程序的创建时间、修改时间、名称、描述、程序厂商和版本、程序的执行路径、SHA-1哈希值等 。即使程序从系统中删除 , 这些信息依然存在 。
回到题目 , 我们要调查USB使用痕迹 , 根据前面的知识 , 我们需要分析SYSTEM这个Hive文件 。
推荐阅读
- 电脑制作ppt的软件推荐 ppt如何插入背景图模板
- 简单4步连接好投影仪 电脑如何无线投屏到投影仪
- 电脑突然没有声音怎么办 8步助你解决问题
- 闪退原因及解决方法 电脑微信闪退怎么解决
- 电脑一开机就节电模式并且黑屏 电脑怎么退出节电模式
- 内存条在笔记本电脑哪个位置 笔记本内存条在哪
- 哪一款笔记本电脑散热性能比较好
- 惠普电脑加内存设置方法 给电脑加内存的方法
- 好不好,值得入手吗 惠普电脑怎么样
- 电脑为什么老是自动重启?