一、概述

注册表（英语：registry）是microsoft windows操作系统和其应用程序中的一个重要的层次型数据库，用于存储系统和应用程序的配置信息。

早在windows 3.0推出ole技术的时候，注册表就已经出现。但是，从windows 95开始，注册表才真正成为windows用户经常接触的内容，并在其后的操作系统中继续沿用至今。随后推出的windows nt是第一个从系统级别广泛使用注册表的操作系统。（via 维基百科）

二、注册表的组成结构

注册表由键（key，或称“项”）、子键（subkey，子项）和值项（value）构成的hive文件组成，关于windows注册表hive格式的详情说明可以参考这篇文章：regf/windows registry file format specification.md at master · msuhanov/regf · github

注册表的结构是一个树状结构，一个键（key，或称“项”）就是一个节点，子键（subkey)就是这个节点的子节点，子健也是键。键的一条属性被称为一个value（值项），value由名称、类型、数据类型和数据组成。一个键可以有多个值，每个值的名称不同，如果值名称是空，则该值为该键的默认值。

可以打开注册表编辑器查看其结构组成：

注册表的主键，也就是主分支有五个，分别是：

• hkey_classes_root：包含启动应用程序所需的全部信息，包括扩展名，应用程序与文档之间的关系，驱动程序名，dde和ole信息，类id编号和应用程序与文档的图标等。
• hkey_current_user：包含当前用户的配置信息，比如环境变量，桌面设置等
• hkey_local_machine：包括安装在计算机上的硬件和软件的信息
• hkey_users:包含计算机的所有用户配置信息
• hkey_current_config：当前硬件的配置信息。

注册表数据类型主要有以下几种：

• reg_sz：字符串类型，文本字符串
• reg_binary：二进制类型，不定长度的二进制值，以16进制形式显示
• reg_dword：双字，32 位的二进制值，显示为 8 位的十六进制值
• reg_multi_sz：多字符串，有多个文本值的字符串，字符串间用 nul 分隔、结尾两个 nul
• reg_expand_sz:可扩展字符串，包含环境变量的字符串

注册表中时间格式有以下几种：

filetime：64位值，代表间隔多少个单位为100纳秒的时间（从utc1601年1月1日开始）

unix time：32位值，代表间隔多少秒（从utc1970年1月1日开始）。

dos date/time：两个16位值，详细记录了当地时间和年月日。

三、注册表的存储

注册表在windows nt操作系统中被分为多个文件存储，这些文件被称为registry hives，每一个文件被称为一个配置单元。

主要配置单元有：

• system：对应的注册表分支为hkey_local_machinesystem，对应的存储文件是windowssystem32configsystem，其作用是存储计算机硬件和系统的信息。
• ntuser.dat：对应的注册表分支是hkey_current_user，存储在用户目录下，与其他注册表文件是分开的，主要用于存储用户的配置信息。
• sam：分支是hkey_local_machinesam，存储在c:windowssystem32configsam文件中，保存了用户的密码信息。
• security：对应的分支hkey_local_machinesecurity，存储在c:windowssystem32configsecurity文件中，保存了安全性设置信息。
• software：分支是hkey_local_machinesoftware，文件存储在c:windowssystem32configsoftware中，保存安装软件的信息。

修改注册表的主要方式有：1、使用提供windows提供的注册表编辑器：%systemroot%regedit.exe；2、使用reg命令，可以对注册表进行增删改查、导入导出注册表文件（reg文件）、导入导出或加载配置单元（reghive）等操作；3、使用reg文件，用户可以通过注册表编辑器导出注册表某些项为一个reg文件，反之可以导入一个reg文件将项目还原或者修改。

此外，为了防止注册表出错和损坏，registry hives还包括注册的事务日志文件和注册表的备份文件。事务日志文件名与注册表文件一致，且在同一个路径中，只是后缀不同。事务日志文件以.log为后缀，多个日志后缀会显示log1、log2这样。（如果要查看这些日志文件，需要打开文件夹选项，取消勾选“隐藏受保护的操作系统文件”）

备份文件则在windowssystem32configregback路径中。

在发生修改将数据写入到主文件之前，hive写入器会先将这些数据存储在事务日志文件中，如果写入事务日志时发生错误（比如系统崩溃），则主文件不会受影响。如果写入主文件时发生错误，可以通过事务日志包含的数据恢复主文件。

四、获取和分析hive

要获取hive，可以通过reg save命令创建registry hives的副本。(在管理员权限的命令提示符中执行)

c:windowssystem32>reg save hklmsam c:sam
操作成功完成。

c:windowssystem32>

分析hive可以使用开源软件regripper，regripper是一个用perl编写的开源工具，可以从注册表中提取和解析各种信息（key、value、data）以供取证人员进行分析。

regripper项目地址：
https://github.com/keydet89/regripper3.0

打开regripper软件，选择hive文件，设置好报告存储路径，选择好profile，然后点rip it

它会创建两个文件，一个是日志文件，一个是报告文件

打开sam hive的分析报告文件，可以看到用户和用户组的详细信息

五、取证实战

来源：cynet应急响应挑战赛

题目描述：podrick 说在2020 年 2 月 3 日午餐时间（下午 12:00 左右），有一个恶意的 usb 设备插入了他的电脑。他还提到他看到他的一位同事——theon g，手里拿着 usb设备离开了他的办公室。但theon 声称他进入办公室是为了拜访 aria（与podrick在同一办公室）。见aria不在，他便离开了办公室。podrick没有锁屏的习惯，他怀疑theon趁他不在的时候窃取了他的数据。

提示：1、检查podrick的电脑；2、确定2020年2月3日，是否有usb设备连接到podrick的pc？；3、提交可疑 usb 设备的serial/uid

题目提供的文件是几个hive文件

这些文件代表什么，在前面的小节中都已经介绍过了，除了amcache.hve，这是win8及更高版本的系统才有的。它存储与执行程序相关的信息，当用户执行某些操作（例如运行基于主机的应用程序、安装新应用程序或从外部设备运行便携式应用程序）时，它会记录程序相关的信息：如程序的创建时间、修改时间、名称、描述、程序厂商和版本、程序的执行路径、sha-1哈希值等。即使程序从系统中删除，这些信息依然存在。

回到题目，我们要调查usb使用痕迹，根据前面的知识，我们需要分析system这个hive文件。

打开regripper工具，加载提供的system文件，导出分析报告。

打开报告文件，通过搜索usbstor(这个key(systemcurrentcontrolsetenumusbstor)存储了任何曾经连接过系统的usb设备的产品信息和设备id)，可以找到有关usb设备的注册表信息。

通过查找和筛选比对，最终我们找到2020-12:12:32有一个usb设备插入了电脑，serial/uid是: 4c530000281008116284

参考资料：

registry hives – win32 apps | microsoft docs https://docs.microsoft.com/en-us/windows/win32/sysinfo/registry-hives