Windows 7注册表分析:USB设备追踪指南
1. 注册表基础
注册表由键(keys)、值(values)和值数据(value data)组成。键类似于文件夹,包含子键和值,并且有一个名为LastWrite time的属性,它是一个64位的FILETIME时间戳,记录了键最后一次被修改的时间,修改包括键的创建、删除,以及子键或值的添加、删除或修改。而注册表值本身没有LastWrite time,但有些值的数据中可能包含与其他功能或操作相关的时间戳。
我们可以将注册表配置单元文件视为日志文件,因为其中记录了各种系统和用户活动,以及时间戳的修改,例如注册表键的LastWrite time。结合值数据和可用的时间戳,我们可以从注册表中获取有价值的数据,就像进行日志文件分析一样。
2. USB设备分析的重要性
在调查中,追踪USB设备(特别是拇指驱动器或外部驱动器盒)的使用情况非常重要。例如,确定特定的可移动设备是否连接到系统,以及当时登录系统的用户和该时间段内访问的数据,可能表明员工是否将敏感的公司数据复制到了该设备上。此外,将外部设备连接信息与恶意软件感染事件相结合,不仅可以确定拇指驱动器是否是感染源,还可以确定具体是哪个设备引入了恶意软件。
3. Windows 7系统中USB设备信息的存储位置
Windows 7系统会记录大量与用户连接的USB设备相关的信息,其中大部分存储在注册表中。要分析USB设备,我们需要从多个配置单元文件(System、Software和NTUSER.DAT)的多个位置提取信息。
4. 拇指驱动器分析示例
以下是一个拇指驱动器分析的详细步骤:
