Windows注册表检验一、实验目的通过实验，使用学员了解Windows操作系统注册表检验的内容，熟练掌握注册表提取和分析的方法，为Windows操作系统取证打下坚实的基础。

二、实验内容（一）掌握Windows系统注册表存储的位置和文件名称；（二）使用不同的工具检验Windows注册表内容。

三、实验器材（一）台式电脑，Windows 2000 / 2003 / XP/2003 操作系统；（二）EnCase、X-Ways Forensics、AccessData Registry Viewer工具；（三）移动存储设备。

四、实验方法步骤以班为单位，每2人一组展开作业。

（一）Windows操作系统注册表存储位置1、windows95/98/ME操作系统在Windows操作系统中不同的操作系统注册表文件由不同的文件组成。

windows95/98/ME操作系统的注册表文件在Windows目录中，包括System.dat和User.dat 两个文件。

2、windowsNT/2000/XP/2003操作系统windowsNT/2000/XP/2003操作系统的注册表文件包括在\%SYSTEMROOT%\system32\config\目录中的system.SAM、SECURITY、software和default 五个文件和Documents and Settings目录中每个用户都有的一个NTUSER.DAT文件。

3、Vista和Win7操作系统Vista和Win7操作系统注册表中增加了一些注册表文件，以下的列表代表了在默认的Vista系统中的注册表的所有配置单元：C:\Windows\System32\config\Regback\SECURITYC:\Windows\System32\config\Regback\SOFTWAREC:\Windows\System32\config\Regback\DEFAULTC:\Windows\System32\config\Regback\SAMC:\Windows\System32\config\Regback\COMPONENTSC:\Windows\System32\config\Regback\SYSTEMC:\Windows\System32\config\BCD-TemplateC:\Windows\System32\config\COMPONENTSC:\Windows\System32\config\DEFAULTC:\Windows\System32\config\SAMC:\Windows\System32\config\SECURITYC:\Windows\System32\config\SOFTWAREC:\Windows\System32\config\SYSETM用户的NTUSER.DAT文件文件用户根目录下（\User\username）。

目前Vista和Win7使用了“REGBACK”目录来备份注册表副本，不再使用Windows2000/XP/2003系统所用的“REPAIR”文件夹。

现在Vista和Win7包含了一个叫“虚拟注册表”的功能，作为加强安全控制的一部分。

该特性确保不让非系统管理员用户对系统注册表的某些部分进行写入，特别是在软件安装过程中。

如果一个程序尝试向受保护的注册表键进行写入操作，那么这个安装程序将无缝地被转向到一个“虚拟”的包含该用户个人注册表配置单元（NTUSER.DAT）的注册表键。

任何非管理员对以下注册表HKEY_LOCAL_MACHINE\Software的写入尝试，将被转向到用户的配置文件的一个虚拟存储器HKEY_USERS \ <UserSID>_Classes \ VirtualStore \Machine \ Software中。

4、操作系统还原点中的注册表文件Windows操作系统的系统还原功能保存一系列的系统还原点。

在系统变得不稳定或者异常时，可以将系统还原到以前某个工作正常的配置。

由此可见，系统还原点备份了相当多有用的信息。

虽然备份到还原点中的注册表文件仅是System32\config目录中注册表文件的一部分。

但是仍能为调查人员提供很多系统以前配置的有用信息，如通过对比SAN文件内容的分析，能够判断出用户组成员是否发生改变；通过对比系统之前和之后安装软件的变化，可以得出用户删除了哪些软件和安装了哪些新软件。

系统还原点保存在System V olume Information目录中，在系统运行的情况下必须有System管理权限才能查看。

在取证过程中一般用取证分析软件用离线的方式查看。

检验操作系统还原点中注册表文件的调查内容与方法和调查System32\config目录中的注册表一样。

（二）注册表检验内容注册表是Windows操作系统的核心。

存储了大量系统相关的配置信息，用户的配置信息，活动行为信息，甚至一些以明文形式保存的口令，对于计算机取证调查取证都有着十分重要的意义。

1、操作系统信息HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Window \ CurrentVersion \ProductNAME （操作系统名称）InstallDate （安装日期）Systemroot （系统安装目录）2、计算机最后关机时间HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Control \ Windows \ ShutdownTime3、计算机共享的文件夹HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Seervices \ lanmanserver \ Share \ <共享名>（如果所在分区是NTFS，那么还有以下注册表键值生成）HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Seervices \ lanmanserver \ Share \ Security \ <共享名>4、USB移动设备接入情况（用户曾经接入该计算机的所有USB设备清单）HKEY_LOCAL_MACHINE \ System \ CurrentControlSet \ Enum \ USBSTOR5、用户最后访问的文档HKEY_CURRENT_USER \ Software \ Microsoft \ CurrentVersion \ Explorer \ RecentDocs6、IE浏览器地址栏输入的URL地址列表HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ TypedURLs7、用户最后运行的命令行HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Explorer \ RunMRU8、开机自动运行的程序HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Window \ CurrentVersion \ RunHKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run9、本机自动登录的用户名和密码HKEY_LOCAL_MACHINE\Software\Microsoft\Window NT \ CurrentVersion\Winlogon DefaultUserName （默认用户名）DefaultPassword （默认密码）（三）调查方法和工具实验过程中，一般采用注册表离线调查的方法，即把要检验的硬盘以只读方式接入的检验工作站用专用的注册表分析软件进行检验。

1、EnCase工具检验EnCaseV6案件处理器中有2个模块（Windows案例寝化模块和扫描注册表模块），该模块可以方便地提取调查人员最关心的一些信息，并进行相关信息的转化，还可以生成可读性较强的报告，然后导出报告。

具体操作步骤如下：（1）运行EnCase，新建案例，加载证据文件，切换到脚本面板，找到自带脚本“案例扫描”，并双击运行，勾选案例。

（２）需要将Windows案例初始化勾选，然后双击进入模块设置。

（3）选择要扫描的一些信息模块，也可以全部选择。

（4）脚本运行完成后，转到“书签”（Bookmark）标签页面进行查看提取的各种信息，然后导出报告。

2、X-Ways Forensics工具检验过程（1）运行X-Ways Forensics，新建案例，加载证据文件后，打开注册表文件。

（2）为注册表项创建报告（3）选择X-Ways Forensics自带的报告格式文件“Reg Report Keys.txt”（4）选择路径保存报告，并查看报告。

3、AccessData Registry Viewer检验过程（1）首先下载AccessData提供的注册表摘要报告模版，然后添加到AccessData Registry Viewer软件安装目录下的Data目录中。

（2）用AccessData Registry Viewer软件打开注册表文件后，调用管理摘要报告。

（3）调用“预览”或“生成”完整的注册表报告。

五、实验注意事项（一）实验过程中，切不可用系统电脑自带的注册表编辑器打开嫌疑硬盘中的注册表，以免造成不必要的损失。

（二）在使用工具分析注册表时，嫌疑硬盘一定要使用只读锁和系统电脑连接。

六、实验作业每组认真完成实验，并写实验报告。

针对在取证过程中出现的问题进行详细记录，实验结束后，大家进行讨论。

七、思考题（一）如何采用在线方式分析检验注册表？（二）分析注册表能不能了解用户使用移动存储设备的具体情况？为什么？。