1、第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术4.1 Windows日志取证技术日志取证技术4.2 Windows注册表取证技术注册表取证技术4.3 Windows内存取证技术内存取证技术4.4 Windows其他取证技术其他取证技术第4章 Windows操作系统取证技术4.1 Windows日志取证技术日志取证技术4.1.1 Windows事件日志事件日志事件日志为操作系统及关联的应用程序提供了一种标准化、集中式地记录重要软件及硬件信息的方法。微软将事件定义为:系统或程序中需要向用户通知的任何重要的事项。事件是统一由Windows事件日志服务来统一收集和存储的。
2、它存储了来自各种数据源的事件,常称为事件日志。第4章 Windows操作系统取证技术事件日志可以为取证人员提供丰富的信息,还可将系统发生的各种事件关联起来。事件日志通常可以为取证人员提供以下信息:(1)发生什么:Windows内部的事件日志记录了丰富的历史事件信息。(2)发生时间:事件日志中记录了丰富的时间信息,也常称为时间戳,它记录了各种事件发生的具体时间。(3)涉及的用户:在Windows操作系统中,几乎每一个事件都与相关的系统账号或用户账号有关。第4章 Windows操作系统取证技术(4)涉及的系统:在联网环境中,单纯记录主机名对于取证人员来说比较难以进一步追踪回溯访问请求的来源信息。(
3、5)资源访问:事件日志服务可以记录细致的事件信息。第4章 Windows操作系统取证技术1.Windows事件日志版本划分事件日志版本划分Windows事件日志最早始于Windows NT 3.1版本,自1993年起便开始使用。Windows事件日志文件的存储位置和文件格式经历了一些变动,其基本可以分为两大版本:第一版(V1)以Vista操作系统以前的事件日志为代表,它是一种二进制格式,默认使用.evt文件扩展名;第二版(V2)以Vista操作系统开始直到最新的Windows 10及Windows Server 1803版本,它们均采用新一代事件日志格式,默认使用.evtx文件扩展名。第4章
4、Windows操作系统取证技术2.Windows事件日志数据存储及相关特征事件日志数据存储及相关特征Windows事件日志第一版(V1),即Windows Vista之前的版本(含Windows NT 3.1至Windows XP或Windows 2003之间的各个版本)默认的事件日志存储位置为%System Root%System32Config。Windows事件日志类别主要包括系统(System)、安全性(Security)、应用程序(Application)及部分自定义日志。系统内置的3个事件日志文件大小均默认为512 KB,如当系统存储的事件日志数据大于512KB时,默认系统将覆盖超
5、过7天的日志记录。事件日志记录了错误、失败、成功、信息及警告事件。第4章 Windows操作系统取证技术Windows事件日志第二版(V2),即Vista及以上版本(含Vista、Windows 7、Windows 8、Windows 8.1、Windows 10、Windows Server 2008/2012/2016等)采用了新的文件格式,文件扩展名为.evtx,如表4-1所示。新版本事件日志的文件结构、日志类型及日志存储位置均发生了较大的变化,默认的事件日志存储位置为%System Root%System32 winevtLogs(默认安装的Windows10操作系统已经约有290个文
6、件)。第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术1)常见取证和分析方法(1)事件日志文件内容查看方法。通常采用商业化计算机取证软件直接分析事件日志文件,如EnCase、FTK、X-Ways Forensics、Safe Analyzer、取证大师、取证神探等,操作简便快捷。第4章 Windows操作系统取证技术通过在Windows操作系统中运行eventvwr.exe,即可调用系统自带的事件日志查看器。其具体操作方式如下:在命令行中89输入eventvwr.exe,也可以同时按Win+R组合键,然后在运行输入框中输入eventvwr.exe或eventvwr(
7、扩展名可省略),即可运行系统事件日志查看器。将待分析的.evtx日志文件通过取证软件导出或用其他方式复制到取证分析机中,即可使用取证分析机系统自带的事件日志查看器来查看与分析内容。取证分析机的操作系统建议使用最新的Windows 10,以便能最佳兼容.evtx文件格式。第4章 Windows操作系统取证技术Event Log Explorer的亮点在于它支持.evt及.evtx两种格式,提供了丰富的过滤条件,此外可正确解析出日志中的计算机名、系统账户或用户的SID(Security Identifiers,安全标识符)等信息。第4章 Windows操作系统取证技术(2)常见的Windows事件
8、日志的分析方法。Windows事件日志中记录的信息中,关键要素包含事件级别、记录时间、事件来源、事件ID、事件描述、涉及的用户、计算机、操作代码及任务类别等。常见Windows账户及相关事件对照表如表4-2所示,其中事件ID与操作系统版本有关,同类事件在不同操作系统中的事件ID不完全相同,最大的差异主要体现在第一版和第二版的事件日志中。因此,在取证过程中需特别注意,当使用事件ID进行过滤搜索时,需要考虑操作系统版本的差异。常见电子数据取证相关事件对照表(适用于Vista及以上操作系统)如表4-3所示。第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术第4章 Windo
9、ws操作系统取证技术第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术(3)事件日志文件结构。事件日志文件是一种二进制格式的文件,文件头部签名为十六进制30 00 00 00 4C 66 4C 65。在默认情况下,全新的事件日志文件的事件日志记录均按顺序进行存储,每条记录均有自己的记录结构特征。然而当日志文件超出最大大小限制时,系统将会删除较早的日志记录,因此日志记录也将出现不连续存储,同一个记录分散在不同的扇区位置的情况。第4章 Windows操作系统取证技术2)Windows事件日志取证分析注意要点Windows操作系统默认没
10、有提供删除特定日志记录的功能,仅提供了删除所有日志的操作功能。在电子数据取证过程中仍存在有人有意伪造事件日志记录的可能性。如遇到此类情况,建议对日志文件中的日志记录ID(Event Record ID)进行完整性检查,如检查记录ID的连续性。通过事件日志记录ID的连续性可以发现操作系统记录的日志的先后顺序。第4章 Windows操作系统取证技术Windows事件日志记录列表视图在用户没有对任何列进行排序操作前,默认是按其事件日志记录编号进行排序的。默认情况下,事件日志记录编号自动连续增加,不会出现个别记录编号缺失情况。值得注意的是,当Windows操作系统用户对操作系统进行大版本升级时,操作系
11、统可能会重新初始化事件日志记录编号。通过对Windows事件日志的取证分析,取证人员可以对操作系统、应用程序、服务、设备等操作行为记录及时间进行回溯,重现使用者在整个系统使用过程中的行为,对虚拟的电子数据现场进行重构,了解和掌握涉案的关键信息。第4章 Windows操作系统取证技术4.1.2 NTFS日志日志NTFS是Windows操作系统重要的文件系统之一。在Windows操作系统中,32 GB以上的分区都只能格式化为NTFS。在分区格式化为NTFS文件系统后,自动生成一系列的内部文件(元文件),内部文件均带有“$”前缀。这些文件通常要用专业的取证软件才能看到,在Windows操作系统中是无
12、法看到内部文件的。NTFS文件系统内部包含两个重要的日志文件,分别为$UsnJrnl和$Logfile。这两个日志文件在取证中可以为取证人员提供分区文件的历史操作记录信息。第4章 Windows操作系统取证技术1.$UsnJrnl日志日志从Windows 7操作系统开始,NTFS文件系统均引入了USN(Update Sequence Number,更新序号)日志机制。该日志文件记录了NTFS分区中文件的创建、重命名、内容变更及删除等重要操作。因此,NTFS日志对于电子数据取证来说是一个“宝藏”,它可以对系统使用者(用户)甚至入侵的黑客对磁盘分区的操作行为进行全面的记录,包括时间戳、文件或文件夹
13、名及操作原因等信息。$UsnJrnl日志在每个NTFS分区根目录下的$Extend中可以被找到,由$J和$MAX两个文件组成,如表4-4所示。第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术$MAX文件大小为32 B,记录固定的信息,其文件结构如表4-5所示。第4章 Windows操作系统取证技术采用这种结构的原因是操作系统要保持日志数据占用的总空间为固定大小。(1)新日志记录一般从$J文件尾部开始添加。(2)如果要添加的记录总大小超过分配大小,则操作系统就认定整个日志数据大小超过了最大大小。(3)如果整个日志数据超过了最大大小,则$J文件前半部分将以“0”方式填充
14、。因此,$J文件的逻辑大小将持续增长,但是保存的实际数据占用的空间却是固定长度。常见的日志数据大小为0 x200000 x23FFFFF。其文件结构如表4-6所示。第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术2.$Logfile日志日志NTFS是一种基于事务的文件系统,在对任何一个文件系统中的文件进行写操作时,都会记录每一次写操作的日志。记录NTFS文件系统产生的事务的文件就是$Logfile。事务是一种每一步都必须执行的磁盘操作。在NTFS文件系统中广泛使用回写(Write-Through)缓存机制,因此$Logfile特别重要。第4章 Windows操作系统
15、取证技术$Logfile只记录NTFS元数据事务,并不包括用户数据(除非这部分是$MFT中的常驻文件)。Microsoft Technet提供了关于事务如何先记录然后提交至磁盘的信息。要确保事务已完成或回滚,NTFS将会执行每个事务的以下步骤:(1)将事务的元数据操作记录于内存中缓存的日志文件。(2)将实际的元数据操作记录于内存中。(3)将缓存日志文件中的事务标记为“已提交”。(4)刷新(提交)日志文件至磁盘。(5)刷新(提交)实际元数据操作至磁盘。第4章 Windows操作系统取证技术4.1.3 IIS日志日志1.IIS日志简介日志简介IIS是Windows平台一直以来常用的Web站点应用服
16、务。IIS很容易安装和部署,目前是全球站点中使用较多的Web服务之一。IIS不同的版本存在一定的安全漏洞,此外加上编写人员缺乏安全意识,网站代码存在一定漏洞(如SQL注入),因此IIS也是目前黑客喜欢攻击的目标。目前有众多商业门户网站(如戴尔、中国招商银行等)就在使用微软IIS来为广大用户提供访问网站服务。第4章 Windows操作系统取证技术目前最新的IIS 10.0是基于Windows Server 2016系统运行的,微软IIS网站服务器版本及功能差异对照表如表4-7所示。第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术微软官方网站提供了关于IIS配置文件更详
17、细的说明(https:/ 7及以上版本支持几个IIS服务器通过一个集中化的配置独立文件进行管理,该文件保存了集中化配置文件的存储路径。第4章 Windows操作系统取证技术2.IIS日志存储及格式日志存储及格式IIS网站服务的默认日志保存路径为%SystemDrive%inetpublogsLogFiles,服务器管理员可能会自定义修改其存储位置,将其保存到非系统盘(如D:Logs)中。IIS站点服务默认使用W3C格式对网站的访问请求、时间戳及请求结果进行记录。管理员可以根据管理需要对日志格式及记录的属性信息进行调整,从而更加灵活、细粒度地提供网站站点服务。第4章 Windows操作系统取证技
18、术IIS日志配置主要包含日志文件格式(默认W3C格式,可根据需要自行选择要记录的字段信息)、日志存储目录、编码(默认UTF-8)及日志文件滚动更新机制(默认每天生成一个独立的日志文件)。日志存储位置中一般包含多个前缀为W3SVC、FTKSVC的文件夹,其中W3代表World Wide Web(WWW,代表Web站点),SVC是Service(服务)的缩写。前缀后面是数字,数字代表站点序号。第4章 Windows操作系统取证技术在IIS的站点日志W3SVC文件中通常可以看到许多以“u_ex+数字”开头的log文件,该数字为6位的日期(年月日格式),即每一天的日志文件都以一个独立文件进行保存。II
19、S日志共有3种日志格式,分别为W3C扩展日志格式、IIS日志格式和NCSA(National Center for Super Computing Applications,美国国家超算应用中心)日志格式,如表4-8所示。第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术W3C日志格式默认包含14个字段属性信息,管理员可以自行选择字段,扩展日志记录的信息内容,如表4-9所示。第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术3.IIS日志取证分析日志取证分析IIS日志均是文本型半结构化数据,可以全部转化为结构化数据,使用各种数据分析工具对其进
20、行分析。常见的IIS日志分析工具有Log Parser(微软免费日志分析命令行工具)、Log Parser GUI Lizard(商业软件)、Search&Replace等。当日志文件不是特别大时,直接用Microsoft Excel、记事本、UltraEdit等工具就可以进行搜索,如根据IP地址、URL地址关键词(如地址中包含SQL语句的关键词,SELECT、UPDATE、DROP、DELETE、FROM等)等进行搜索与分析。对于日志数量较多的文件,建议采用Log Parser或Log Parser GUI Lizard进行统计分析、SQL查询等分析,筛选与涉案相关的关键数据。第4章 Win
21、dows操作系统取证技术涉及IIS服务器入侵取证的案件中,不少黑客服务器完成任务后,可能还会清除服务器对应的日志文件,导致增加案件的侦查工作。除了通过常见的基于文件系统元数据信息的数据恢复外,还可以通过设置IIS日志不同格式文件中的数据记录的特征关键词(经过人工总结,写成正则表达式关键字)对未分配空间进行数据搜索,寻找黑客入侵的蛛丝马迹。IIS日志W3C格式的正则表达式语法:2010-9-0-10-9-0-30-9x200-20-9:0-5 0-9:0-50-9x20第4章 Windows操作系统取证技术4.1.4 其他日志其他日志除了Windows事件日志、IIS日志外,还有FTP日志、操作
22、系统相关日志、应用程序日志(如杀毒软件)等。在电子数据取证过程中需要针对性地对上述日志进行数据提取和分析。1.杀毒软件杀毒软件360日志日志360杀毒软件在Windows操作系统平台的安装及使用中普及率高,在系统或程序运行过程中出现的一些异常行为、文件扫描、可疑文件的上传等均有相关的日志记录。第4章 Windows操作系统取证技术360杀毒软件的日志存储位置为C:Program Files360360sdLog。日志目录分类存储,包含多个文件夹,如表4-10所示。第4章 Windows操作系统取证技术2.可疑文件上传日志可疑文件上传日志360杀毒软件会对可疑文件(非白名单列表文件)自动计算哈希
23、值,同时将文件的原始路径及名称、MD5哈希值等进行上传。第4章 Windows操作系统取证技术4.2.1 Windows注册表简介注册表简介注册表是Windows 9x、Windows CE、Windows NT及Windows 2000等操作系统用于存储系统配置、用户配置、应用程序及硬件设备所需的信息,是一种集中式分层的数据库。4.2 Windows注册表取证技术注册表取证技术第4章 Windows操作系统取证技术注册表包含Windows操作系统操作过程中持续需要的信息,如每个用户的配置文件夹、安装到计算机中的应用程序、文件夹及应用程序图标的属性配置、系统中的硬件及正在使用的端口等。它代替了
24、早期DOS、Windows 3.x时代的INI配置文件。第4章 Windows操作系统取证技术注册表文件可分为系统注册表和用户注册表两种。系统注册表通常记录与操作系统相关的硬件、网络、服务及软件等配置信息;用户注册表通常记录与用户配置相关的信息。注册表存储位置与名称如表4-11所示。第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术1.注册表的层级结构及数据类型注册表的层级结构及数据类型注册表的顶级目录一般称为键(Key)、主键或项,子目录称为子键(Subkey)或子项,存储的数据项一般称为值(Value)。注册表中的值可以存储多种不同类型的数据,如表4-12所示。第
25、4章 Windows操作系统取证技术第4章 Windows操作系统取证技术2.注册表配置单元注册表配置单元配置单元(Hive)是注册表中一个由键、子键及值组成的逻辑组。在电子数据取证过程中,应当熟悉通过正在运行的操作系统中注册表编辑器看到的信息与磁盘中对应注册表文件的映射关系。系统注册表通常包括SAM、SECURITY、SYSTEM和SOFTWARE等文件。第4章 Windows操作系统取证技术3.注册表预定义项注册表预定义项注册表中的预定义项是指从注册表编辑器中看到的最顶层的项目(如HKEY_CLAS SES_ROOT),每个项都以HKEY前缀开头,如表4-13所示。5大预定义项是操作系统在
26、运行过程中经常访问的根节点,其包含的信息实际上都来自系统注册表(SAM、SECURITY、SYSTEM、SOFTWARE等)、用户注册表(NTUSER.dat、USRCLASS.dat)等文件中的数据。第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术4.2.2 Windows注册表取证分析注册表取证分析要对Windows操作系统的注册表文件进行分析,最简单的查看工具就是Windows自带的注册表编辑器。要对涉案的计算机磁盘或镜像文件进行注册表分析,首先将要分析的注册表文件复制到指定目录,然后通过注册表编辑器进行加载,即可查看注册表文件的内容。该方式无法提取和分析已删
27、除的注册表信息。第4章 Windows操作系统取证技术1.Registry Explorer分析注册表分析注册表Eric R.Zimmerman开发了许多取证辅助分析工具,其中Registry Explorer v0.9.0.0是一个十分优秀的注册表分析工具,它与大多数商业取证软件一样,支持恢复已删除的注册表信息。其搜索能力甚至超越了大多数取证分析软件,内置了取证常用的书签功能,选择要查看的注册表信息即可直接跳转到具体位置。第4章 Windows操作系统取证技术Registry Explorer支持批量添加多个注册表配置单元文件。在电子数据取证过程中使用该分析工具非常方便,特别是不清楚键值存在
28、于哪个注册表文件时,取证人员可以直接加载所有系统注册表文件及多个用户的注册表文件(NTUSER.dat),然后对所有注册表文件进行全部搜索。第4章 Windows操作系统取证技术2.X-Ways Forensics分析注册表文件分析注册表文件利用X-Ways Forensics取证软件分析注册表文件,可以通过过滤器找到注册表文件,直接双击注册表文件,X-WaysForensics将自动打开一个独立的注册表查看窗口。第4章 Windows操作系统取证技术3.取证神探分析注册表文件取证神探分析注册表文件取证神探分析软件内置注册表分析功能,除了可以自动提取系统注册表、用户注册表中的操作系统信息、设备
29、信息、软件安装信息、USB设备使用痕迹等外,还可以对注册表文件进行高级手工分析,甚至是数据解码。第4章 Windows操作系统取证技术取证神探引入了取证结果溯源功能,将自动取证后的结果的数据来源清晰地告诉取证人员,取证人员可以看到取证结果是从哪个文件读取并解析数据的。取证神探还可以对注册表文件进行手工查看与分析、数据搜索及数据解码。可通过关键词对注册表文件中的内容进行搜索,可设定搜索类型(如键、值或数据)、搜索范围(当前选中的键或整个注册表),此外还可以使用通配符进行快速搜索。第4章 Windows操作系统取证技术在Windows注册表中,不少数据经过了编码或加密。取证神探内置的注册表分析工具
30、提供了查看注册表原始数据及高级手工解码的能力。有经验的取证人员可以对注册表值的数据(如十六进制、ROT-13编码)进行数据解码,取证工具内置了数值型、时间类型等数据常用的解码方法。第4章 Windows操作系统取证技术4.常见的注册表取证内容常见的注册表取证内容1)时区信息Windows操作系统的时区设置关系到某些特定文件系统(如NTFS)的文件时间戳解码。不少取证软件如EnCase、取证大师、取证神探等默认使用的时区直接取自当前运行系统的时区,而FTK、X-Ways Forensics等取证软件均要求取证人员在创建案件时就要进行选择或设置。注意:当被调查人员使用的时区与取证人员计算机使用的时
31、区不同时,切记一定要提取注册表中的时区信息(Time Zone),然后手工修改取证软件对磁盘设备的时区设置,只有这样才能正确解析出文件相关时间戳。第4章 Windows操作系统取证技术假如当前操作系统时间为2018-05-26 18:35,将一个全新的文件henry.jpg写入一个NTFS分区,Windows操作系统将会读取时区设置,如当前时区设置是北京时间UTC+8,那么Windows操作系统向$MFT记录写入该文件的创建时间的时间戳将会变成2018-05-26 10:35。也就是说,将NTFS文件系统中的文件时间戳写入元文件($MFT)时默认均采用UTC+0的时间,如表4-14所示。第4章
32、 Windows操作系统取证技术第4章 Windows操作系统取证技术保存Windows操作系统时区信息的注册表文件一般存储于%windir%system32config SYSTEM,通过取证软件进行查看。步骤1:查看SYSTEMSelectCurrent的值,如果值为00000001,那么需要进入Controlset001的子键中查看时区信息,如图4-1所示。第4章 Windows操作系统取证技术图4-1 查看X-Ways Forensics注册表内容第4章 Windows操作系统取证技术步骤2:提取信息。选择SYSTEMControlSet001ControlTimeZoneInform
33、ation,提取TimeZoneKeyName信息,如图4-2所示。图4-2 提取TimeZoneKeyName信息第4章 Windows操作系统取证技术2)最近使用的文件Windows操作系统本身及许多应用程序记录了最近使用的文件(Most Recently Used,MRU),主要是为了提升用户体验,方便用户再一次打开最近打开的文件。Windows操作系统及应用软件将MRU的历史记录在注册表中,在注册表的键名称中通常含有MRU的关键词。国内的多数计算机取证分析软件可以对常见的MRU信息进行提取和解析。作为电子数据取证人员、司法鉴定人员,不能完全依赖取证工具的解析能力,还需要了解各种MRU信
34、息的存储位置及解码方法,如表4-15所示。目前大部分MRU信息是明文存储的,多数可以直接查看其内容。第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术注:不同应用程序版本在注册表中记录的MRU通常会以不同版本号分别存储,如表4-16所示。通常从操作系统或应用软件中看到的最近使用的文件列表数量有限,然而实际上通过注册表可以找到更多MRU记录。此外,部分软件存在MRU记录数最大限制。第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术3)应用程序访问痕迹(UserAssis
35、t)Windows操作系统在运行过程中对使用频率高的应用程序进行了记录,包括应用程序名称、路径、运行次数、最后一次执行时间等信息。记录的信息存在于注册表中的UserAssist子键中。用户注册表文件NTUSER.DAT文件记录了用户的各种配置信息,通过取证软件或注册表工具打开该文件,找到SOFTWAREMICROSOFTWINDOWSCURRENTVERSION EXPLORERUserAssist,分别如表4-17和图4-3所示。第4章 Windows操作系统取证技术第4章 Windows操作系统取证技术图4-3 注册表中的UserAssist子键信息第4章 Windows操作系统取证技术U
36、serAssist下的Count中包含的值均通过ROT-13进行加密,因此还需要对信息进行数据解码,才能还原出原始信息内容。ROT-13加密算法原理:将26个英文字母分为两组,每组13个,英文字母表中的字母通过置换实现信息加密,大写字母对应大写字母,小写字母对应小写字母。例如,原文“HELLO”经过ROT-13加密后,密文变成“URYYB”,如图4-4所示。注意:UserAssist中的信息使用ROT-13只对字母进行转化,其它非字母(如数字、中文字符、特殊字符等)均保持不变。第4章 Windows操作系统取证技术图4-4 ROT-13加密算法第4章 Windows操作系统取证技术4)USB设
37、备使用记录Windows除了记录大量的MRU文件外,还记录了一些设备的使用操作记录。USB设备(如加密狗、U盘、移动硬盘、智能手机等)在与计算机连接时,系统将会识别出USB设备,并在注册表中生成相关的键信息。第4章 Windows操作系统取证技术在%windir%System32ConfigSYSTEM注册表中记录了Windows操作系统中插入过的USB设备。通过取证分析软件或注册表工具查看SYSTEM注册表文件,找到ControlSet001EnumUSB(所有USB设备的记录)及ControlSet001EnumUSBSTOR(所有USB存储设备的记录)注册表项,可分析USB使用痕迹。US
38、BSTOR子键中记录了所有与该计算机连接过的USB存储设备。同一个设备型号只会生成一个子键,如Disk&Ven_Kingston&Prod_DT_Workspace&Rev_KS15。该文件夹还会有一个以系列号命名的子键。第4章 Windows操作系统取证技术Disk:说明该设备是一个USB存储介质设备,而不是不可存储的设备(如加密狗)。CdRom:说明该设备是一个光盘存储介质设备。Ven:Vendor厂商缩写。Prod:Product产品型号缩写。Rev:Revision修订版缩写。第4章 Windows操作系统取证技术5.注册表分析工具注册表分析工具除了Registry Explorer外
39、,RegRipper(Harlan Carvey开发)、Mitec Windows Registry Recovery(WRR)等均可以对注册表进行分析。RegRipper是Harlan Carvey编写的注册表分析工具,也是一个免费的取证工具。通过运行rr.exe,即可调用RegRipper的图形界面。RegRipper内置了350多个插件模块,支持对SAM、SECURITY、SYSTEM、SOFTWARE等系统注册表,用户注册表NTUSER.dat、AmCache等注册表文件的分析。第4章 Windows操作系统取证技术4.3 Windows内存取证技术内存取证技术4.3.1 Window
40、s内存简介内存简介计算机内存一般指的是随机存取存储器(Random Access Memory,RAM)。内存是一种易失性存储载体,它保存处理器主动访问和存储的代码和数据,是一个临时的数据交换空间。大多数PC的内存属于一种动态RAM(DRAM),是动态变化的,其利用了电容器在充电和放电状态间的差异来存储数据的比特位。为了维持电容器的状态,动态内存必须周期性刷新,这也是内存控制器最典型的任务。第4章 Windows操作系统取证技术1.地址空间地址空间CPU处理器在执行指令并访问存储于内存中的数据时,必须为被访问的数据指定一个唯一性地址。地址空间(Address Space)指的就是一组大量的有效
41、地址,可用于识别存储于有限内存分配空间中的数据。一个正在运行的程序可以访问的单个连续的地址空间一般称为线性地址空间。基于内存模型及采用的分页模式,有时将其称为线性地址,又称为虚拟地址。通常使用物理地址空间来特指处理器请求访问物理内存的地址。这些地址是通过将线性地址转化为物理地址来获得的。第4章 Windows操作系统取证技术2.内存分页内存分页从抽象意义上来讲,页(Page)是一个具有固定尺寸的窗口;从逻辑意义上来讲,页是具有固定大小的一组连续线性地址的集合。分页(Paging)可以将线性地址空间虚拟化。它创建了一个执行环境,大量线性地址空间通过适量的物理内存和磁盘存储进行模拟。每一个32位的
42、线性地址空间被分为固定长度的片段,称为页,页能以任意顺序将线性地址空间映射为物理内存。当程序尝试访问线性地址时,这样的映射使用驻留内存的页目录(Page Directory,PD)及页表(Page Table,PT)来实现,如图4-5所示。第4章 Windows操作系统取证技术图4.5 内存分页机制第4章 Windows操作系统取证技术3.物理地址扩展物理地址扩展Intel公司的32位架构的内存分页机制支持物理地址扩展(Physical Address Extension,PAE),该扩展允许处理器支持超过4 GB的物理地址空间。程序虽然仍只能拥有最高4 GB的线性地址空间,但是内存管理单元可
43、以将那些地址映射为扩展后的64 GB物理地址空间。对于支持PAE功能的系统,其线性地址分为以下4个索引:第4章 Windows操作系统取证技术(1)页目录指针表(Page Directory Pointer Table,PDPT)。(2)页目录。(3)页表。(4)页偏移(Page Offset)。计算机终端及移动终端均使用了RAM易失性存储,主要用于数据交换、临时存储等。操作系统及各种应用软件均经常需要与物理内存进行数据交互,此外由于内存空间有限,因此计算机系统还可能将内存中的数据缓存到磁盘中,如Pagefile.sys(页交换文件)及Hiberfil.sys(休眠文件)。第4章 Window
44、s操作系统取证技术内存中有大量的结构化数据和非结构化数据。通过对物理内存镜像,可以提取有价值的数据。常见有价值的数据包含以下内容:(1)进程列表(包括恶意程序进程、Rootkit隐藏进程等)。(2)动态链接库(当前系统或程序加载的动态链接库)。(3)打开文件列表(当前系统打开的文件列表)。(4)网络连接(当前活动的网络连接)。(5)$MFT记录(常驻文件均可以直接提取恢复)。(6)注册表(部分注册表信息,包括系统注册表和用户注册表文件)。第4章 Windows操作系统取证技术(7)加密密钥或密码(如Windows账户密码Hash、BitLocker、SafeBoot、PGP、TrueCrypt
45、、VeraCrypt等全盘加密或加密容器的恢复密钥等)。(8)聊天记录(如QQ聊天记录片段)。(9)互联网访问(上网记录URL地址、网页缓存及InPrivate隐私模式访问数据等)。(10)电子邮件(如网页邮件缓存页面)。(11)图片及文档(尚未保存到磁盘中的图片、文档等文件)等。第4章 Windows操作系统取证技术4.页交换文件。页交换文件。除了使用物理内存RAM用于数据交换外,Windows为了能正常工作,还使用了各种各样的文件。从Windows 95开始,Windows开始引入页交换文件(Pagefile.sys)用于协助内存数据的交换。Pagefile.sys是磁盘中的一个文件,用于
46、临时存储操作系统中的活动数据,在必要的情况下,Windows可将Pagefile.sys文件中的数据移动到物理内存中或从内存中将数据移到该文件中,实现数据的临时交换或缓存。从Pagefile.sys中获得的数据通常是当前活动的相关信息,也通常与调查相关性较高。第4章 Windows操作系统取证技术5.休眠文件休眠文件休眠文件(Hiberfil.sys)是当系统休眠时,Windows将物理内存的数据写入磁盘生成的一个文件。当系统进入休眠状态后,网络连接将会中断;当系统重新加电时,Hiberfil.sys文件中的数据重新回写到物理内存中,这也使得系统从休眠状态恢复到原始状态变得相当快。第4章 Wi
47、ndows操作系统取证技术休眠文件包含标准的头部(PO_MEMORY_IMAGE)、内核上下文与寄存器的相关信息及压缩的数据块。该文件采用了Xpress算法(带Huffman及LZ编码)。文件头部通常包含“hibr”“HIBR”“wake”或“WAKE”等特征。操作系统从休眠状态恢复后,头部即被清零,清零后的文件头可能会导致一些取证软件无法分析该文件。第4章 Windows操作系统取证技术要进入休眠模式,首先要让系统启用休眠模式支持。Windows 8及以上版本的操作系统默认启用休眠模式支持。取证人员也可以管理员权限进入命令行模式,并输入powercfg.exe/hibernate ON 来启
48、用休眠模式支持。要让操作系统进入休眠模式,则需要输入shutdown/h。第4章 Windows操作系统取证技术如果在默认的Windows开始菜单中的“电源”找不到“休眠”,可以通过按Win+X键,找到“控制面板”,再找到“电源选项”,然后继续进行设置。例如,可以通过“选择电源按钮的功能”,选择“更改当前不可用的设置”,在“关机设置”下将“休眠”选项勾选。后续在“开始”菜单中选择“电源”便可看到“休眠”选项。以上操作的具体步骤在不同Windows中可能略有差异。第4章 Windows操作系统取证技术4.3.2 Windows 内存取证方法和分析技术内存取证方法和分析技术内存取证通常是指对计算机
49、及相关智能设备运行时的物理内存中存储的临时数据进行获取与分析,提取有价值的数据的过程。内存是操作系统及各种软件交换数据的区域,内存中的数据易丢失(Volatile),即通常在关机后数据很快就会消失。第4章 Windows操作系统取证技术常见的物理内存获取方法有冷启动攻击(Cool Boot Attack)、基于火线(1394)或雷电(ThunderBolt)接口的直接内存访问(Direct Memory Access,DMA)获取及内存获取软件工具。不同的操作系统需要用到不同的物理内存获取工具。Windows操作系统平台支持内存获取的常见工具有DumpIt(早期版本名为Win32dd)、Bel
50、kasoft RAMCapturer、Magnet RAM Capture、WinEn、Winpmem、EnCase Imager、FTK Imager、取证大师、取证神探。第4章 Windows操作系统取证技术Linux操作系统支持内存获取的常见工具有dd(适合Linux早期版本)、LiME、linpmem、Draugr、Volatilitux、Memfetch、Memdump。Mac OSX操作系统支持内存获取的常见工具有MacMemoryReader、OSXPmem、Recon for Mac OSX、Blackbag MacQuisition。第4章 Windows操作系统取证技术Wi
