基于Windows注冊表的計算機取證研究

任國恒　周航　張棟梁

摘要：為了從注冊表中獲得計算機犯罪的證據，文中對注冊表結構和計算機取證中注冊表信息的挖掘進行了分析，并通過移動存儲設備實例分析進行了驗證，表明注冊表在獲取計算機犯罪證據過程中具有重要的作用，基于Windows 注冊表取證分析技術研究能夠為計算機犯罪的注冊表取證提供指導，提高取證分析的效率，對當前的計算機取證具有一定的應用價值。

關鍵詞：Windows系統； 計算機取證； 注冊表； 電子證據

中圖分類號：TP309 文獻標識碼：A文章編號：2095-2163（2013）05-0075-04

0引言

計算機和網絡的普及給人們帶來了極大的方便，但隨之而來的卻是計算機犯罪呈現日趨嚴重的趨勢。在打擊計算機犯罪中，計算機取證技術研究就顯得尤為重要。計算機取證是指運用計算機辨析技術，對計算機犯罪行為進行全面分析以確認罪犯及計算機證據，并據此提起訴訟，這是對存在于計算機及其相關的設備中的電子證據進行獲取、保全、鑒別、分析和提交的有效過程，且取得的證據具有不可抵賴性[1，2]。計算機取證在打擊計算機和網絡犯罪中可實現的作用十分關鍵，其目的是要將犯罪者留在計算機中的痕跡作為有效的訴訟證據提供給法庭[3]，因此，計算機證據作為一種新的證據形式，逐漸成為新的訴訟證據之一。

1Windows系統注冊表在計算機取證中的作用

Windows 操作系統的注冊表是一個集中管理計算機各種硬件設施、軟件配置以及應用程序、并使其得以正常運行的核心數據庫，存儲有不同的參數信息，直接控制著開機過程中硬件設備驅動程序的加載、系統的正常啟動以及部分應用程序的運行，幾乎所有的軟件、硬件以及系統設置與注冊表均高度相關[4，5]。

注冊表不僅是Windows操作系統的核心，同時也是Windows操作系統中最脆弱的部分[6]。目前，注冊表已經成為越來越多的黑客程序攻擊的對象，也是因為所有程序運行時都要對注冊表進行操作。入侵和攻擊事件往往是從修改注冊表數據文件開始的，對注冊表的分析可以跟蹤和定位攻擊者，再結合有效的技術手段把注冊表文件作為有效證據起訴攻擊者[7]。所以，對于計算機取證分析而言，注冊表提供了大量豐富的信息，記錄著犯罪者實施犯罪的大量證據，成為打擊計算機犯罪非常重要的線索和證據來源，Windows 注冊表文件作為電子證據的一種，在計算機取證中有著重要的意義[8]。

2計算機證據的特點

計算機證據是指在計算機或計算機系統運行過程中產生或儲存的，并以其記錄的內容來證明案件事實的記錄物，且該記錄物具有多種輸出表現形式[9]。與傳統證據一樣，計算機證據必須是可信的、準確的、完整的、使法官信服的、符合法律法規的，即可為法庭所接受的。

作為有別于傳統證據的電子證據，其典型特征如下[10]：

（1）載體的依賴性。 電子數據總是依托于一定的存儲介質和電子設備而存在，對電子數據的鑒定也將是立足于對存儲媒介和電子設備的分析。

（2）隱蔽性。計算機證據一般是非常規地隱藏存放在各種存儲介質和電子設備中。

（3）多樣性。表現形式多樣，綜合了文本、圖像、圖形、音頻、視頻等多種媒體信息。

（4）脆弱易逝性。電子證據的內容很容易被破壞、刪除，甚至篡改，且對其進行不可恢復的改動后不留下痕跡。

3注冊表分析

3.1注冊表鍵值分析從Windows 95操作系統伊始，注冊表即應用于微軟各版本操作系統中。文中以Windows XP （Service Pack 2） 系統的注冊表為例，對注冊表的邏輯結構和物理存儲方式進行解析。首先點擊“開始”—“運行”—輸入regedit，打開注冊表編輯器，查看W i n d o w s 注冊表的邏輯視圖，如圖1所示。

3.2注冊表取證分析3.2.1時間的獲取

在取證分析過程中需要確定檢材的使用時間與嫌疑人所陳述時間是否吻合，是否存在其他時間范圍內使用的情況。從注冊表中獲取最近的關機時間：HKLM＼SYSTEM＼ControlSet00x＼Control＼Windows＼。在這個子鍵下，包含著一個名為“ShutdownTime”的鍵值，隱藏著最近一次開機的時間，如圖2所示。

3.2.2臨時文件提取

在恢復獲取案件硬盤的數據后，首先要搜查的目標就是——臨時文件。對臨時文件的相關分析可以幫組取證人員獲得符合作案時間范圍內的嫌疑文件，或者記錄作案行徑的痕跡。Windows XP系統“開始”菜單中所包含的臨時文件應當首先進入排查：HECU＼Software＼Microsoft＼Windows＼CurrentVersion＼Explorer＼RecentDocs，這里記錄了所有對應簽名的臨時文件。

另外，隨著系統啟動，很多程序、添加組件會自行運行，而相應記錄就會由注冊表存儲在下列文件中：

3.2.3硬件設備

注冊表中LM＼SYSTEM＼ControlSet00x＼Enum＼USBSTOR下記錄了所有本機加載的USB存儲設備。該項可以和項Mounted Devices一起作為取證證據。

圖7中USBSTOR下包括的移動存儲設備使用信息是按照設備品牌分類的，而信息的記錄也是有規可循的。一般的記錄規則是：設備類型 & The Vendor ID（供應商）& The Product ID（產品）& Revision（版本）。在每個品牌子鍵下，則包含了在本地計算機所用過的此品牌所有型號的移動存儲設備信息。