注册表分析全解析
1. 已删除注册表项的恢复
当注册表项被删除时,它们并非真正消失。就像文件一样,它们在配置单元文件中占用的空间只是被标记为可用,并且可以被覆盖。Jolanta Thomassen的“regslack.exe”工具(可在http://code.google.com/p/winforensicaanalysis/downloads/list的RR.zip存档中获取)在恢复已删除的键和值方面表现出色,同时还能展示配置单元文件中的可用空间。
2. USB设备分析
在USB设备分析中,EMDMgmt键(软件配置单元中的完整路径为Microsoft\Windows NT\CurrentVersion\EMDMgmt)包含一个子键,该子键对应智能手机(包括设备型号和序列号)。这个键特定于ReadyBoost,它能提供已连接到系统的设备的指示,当用户删除其他注册表项以隐藏其活动时,这一信息尤为有用。此外,还可以通过比较不同输出集及其关联的时间戳来确定设备连接和断开的时间。
3. 系统配置单元分析
系统配置单元包含了大量关于系统的信息,如已连接的设备、应运行或不应运行的服务和驱动程序等。分析系统配置单元可以找到许多非常有用的信息,例如确定USB设备连接到系统的时间,还可以参考MountedDevices键。
3.1 服务分析
分析可用服务是许多类型事件调查的重要部分,包括系统被入侵、数据泄露和恶意软件感染等。Windows服务是恶意软件的重要持久化机制,因为许多服务在系统启动时自动启动,并且通常以提升的权限运行。攻击者可能会将后门作为Windows服务运行,只要系统运行,后门就会可用。
在
