indows注冊表是操作系統(tǒng)上所有軟件的配置設置的大型數據庫,可以使用Windows預裝的注冊表編輯器工具編輯該數據庫����。因此��,用戶可以使用注冊表編輯器以各種方式自定義Windows 11。不建議隨意擺弄注冊表�,但是如果你知道自己在做什么�,就可以做一些非常有趣的事情���。
1.使用Windows 11的搜索框打開注冊表編輯器
要啟動搜索工具�����,請單擊Windows 11任務欄上的放大鏡按鈕�。
在搜索文本框中鍵入“注冊表編輯器”查找應用程序�����。
然后在搜索工具中單擊注冊表編輯器的“以管理員身份運行”選項����。
2.用運行打開注冊表編輯器
要快速打開運行對話框�,請同時按Win+R鍵。
在運行的打開文本框中鍵入regedit�,然后單擊確定按鈕���,也可以按Enter鍵��。
你還可以在輸入運行命令后按Ctrl+Shift+Enter鍵以提升權限打開注冊表編輯器和其他應用程序���。
3.從控制面板打開注冊表編輯器
同時按下Win+S鍵����。
在搜索框中輸入“控制面板”。
單擊控制面板將其打開。
在查看方式菜單上選擇類別。
單擊系統(tǒng)和安全類別�����。
然后選擇Windows工具小程序將其打開��。
在Windows工具中右鍵單擊注冊表編輯器����,然后選擇以管理員身份運行����。
4.從任務管理器打開注冊表編輯器
按Ctrl+Alt+Delete熱鍵。
選擇任務管理器選項�。
然后在任務管理器中單擊文件>運行新任務����。
在創(chuàng)建新任務的打開框中輸入regedit��。
選中“以系統(tǒng)管理權限創(chuàng)建此任務”復選框�����。
單擊確定按鈕啟動注冊表編輯器。
5.使用Windows終端打開注冊表編輯器
按Win+X調出高級用戶菜單。
在該菜單上選擇Windows終端(管理員)。
單擊打開新標簽頁按鈕右邊的下拉箭頭,選擇Windows PowerShell或命令提示符。
在命令提示符或PowerShell中鍵入regedit,然后按Enter鍵���。
6.從桌面上下文菜單打開注冊表編輯器
你可以將注冊表編輯器快捷方式添加到桌面的右鍵單擊上下文菜單����。當你這樣做時��,你可以通過右鍵單擊桌面上的空白處并在上下文菜單中選擇它來打開注冊表編輯器。
使用上面介紹的任何一種方法打開注冊表編輯器。
在注冊表編輯器中導航到計算機>HKEY_CLASSES_ROOT>Directory>Background>shell路徑����。
右鍵單擊shell鍵并選擇新建--項命令�。
輸入Registry Editor作為新鍵的標題���。
右鍵單擊Registry Editor項并選擇新建>項��。
將新建的項命名為command����。
選擇新的command項����。
雙擊注冊表編輯器右側的command項(默認)字符串。
在數值數據框中鍵入“C:\Windows\regedit.exe”��。
單擊確定按鈕����。
右鍵單擊桌面并選擇顯示更多選項,可以在經典上下文菜單上選擇注冊表項以在需要時打開它。如果你想刪除該上下文菜單快捷方式,請右鍵單擊Registry Editor項并選擇刪除�����。
7.使用桌面快捷方式打開注冊表編輯器
右鍵單擊桌面空白區(qū)域并選擇新建>快捷方式選項��。
在顯示的項目位置文本框中鍵入regedit�����。
單擊下一步按鈕��,然后在名稱框中輸入注冊表編輯器���。
選擇完成按鈕����,就可以添加桌面快捷方式��。
現在你可以雙擊注冊表編輯器桌面快捷方式來打開該應用程序��,或者,右鍵單擊該快捷方式并選擇以管理員身份運行����。
將注冊表編輯器圖標添加到桌面后�����,你可以將該快捷方式轉換為任務欄或開始菜單。請右鍵單擊注冊表編輯器圖標并選擇顯示更多選項�����,經典上下文菜單包括固定到開始和固定到任務欄選項�,選擇其中一個選項為應用程序添加開始菜單或任務欄快捷方式。
8.使用熱鍵打開注冊表編輯器
熱鍵可能是最方便的快捷鍵�。如果你設置了注冊表編輯器桌面快捷方式�,則可以為其添加熱鍵����,這樣就能夠使用Ctrl+Alt組合鍵打開注冊表編輯器。
首先����,如第七種方法所述���,將注冊表編輯器快捷方式添加到桌面。
右鍵單擊注冊表編輯器桌面圖標并選擇屬性上下文菜單選項����。
在快捷鍵框內左鍵單擊以將文本光標放置在那里�����。
按R鍵���。
選擇應用并單擊確定保存鍵盤快捷鍵���。
現在按Ctrl+Alt+R組合鍵可以調出注冊表編輯器�����。只要你不刪除分配給它的注冊表編輯器桌面快捷方式,該熱鍵將始終有效�。#win11玩機技巧#�
��、概述
注冊表(英語:Registry)是Microsoft Windows操作系統(tǒng)和其應用程序中的一個重要的層次型數據庫,用于存儲系統(tǒng)和應用程序的配置信息�����。
早在Windows 3.0推出OLE技術的時候����,注冊表就已經出現。但是���,從Windows 95開始,注冊表才真正成為Windows用戶經常接觸的內容���,并在其后的操作系統(tǒng)中繼續(xù)沿用至今��。隨后推出的Windows NT是第一個從系統(tǒng)級別廣泛使用注冊表的操作系統(tǒng)����。(via 維基百科)
二�、注冊表的組成結構
注冊表由鍵(key,或稱“項”)��、子鍵(subkey����,子項)和值項(value)構成的hive文件組成,關于Windows注冊表hive格式的詳情說明可以參考這篇文章:regf/Windows registry file format specification.md at master · msuhanov/regf · GitHub
注冊表的結構是一個樹狀結構��,一個鍵(key���,或稱“項”)就是一個節(jié)點���,子鍵(subkey)就是這個節(jié)點的子節(jié)點��,子健也是鍵��。鍵的一條屬性被稱為一個value(值項),value由名稱、類型����、數據類型和數據組成���。一個鍵可以有多個值���,每個值的名稱不同�����,如果值名稱是空��,則該值為該鍵的默認值���。
可以打開注冊表編輯器查看其結構組成:
注冊表的主鍵��,也就是主分支有五個,分別是:
- HKEY_CLASSES_ROOT:包含啟動應用程序所需的全部信息�,包括擴展名����,應用程序與文檔之間的關系,驅動程序名,DDE和OLE信息�����,類ID編號和應用程序與文檔的圖標等�����。
- HKEY_CURRENT_USER:包含當前用戶的配置信息���,比如環(huán)境變量����,桌面設置等
- HKEY_LOCAL_MACHINE:包括安裝在計算機上的硬件和軟件的信息
- HKEY_USERS:包含計算機的所有用戶配置信息
- HKEY_CURRENT_CONFIG:當前硬件的配置信息��。
注冊表數據類型主要有以下幾種:
- REG_SZ:字符串類型����,文本字符串
- REG_BINARY:二進制類型�����,不定長度的二進制值,以16進制形式顯示
- REG_DWORD:雙字�,32 位的二進制值�,顯示為 8 位的十六進制值
- REG_MULTI_SZ:多字符串�����,有多個文本值的字符串����,字符串間用 nul 分隔����、結尾兩個 nul
- REG_EXPAND_SZ:可擴展字符串,包含環(huán)境變量的字符串
注冊表中時間格式有以下幾種:
FILETIME:64位值�����,代表間隔多少個單位為100納秒的時間(從UTC1601年1月1日開始)
Unix Time:32位值�,代表間隔多少秒(從UTC1970年1月1日開始)。
DOS Date/Time:兩個16位值�����,詳細記錄了當地時間和年月日���。
三��、注冊表的存儲
注冊表在Windows NT操作系統(tǒng)中被分為多個文件存儲�,這些文件被稱為Registry Hives����,每一個文件被稱為一個配置單元�����。
主要配置單元有:
- SYSTEM:對應的注冊表分支為HKEY_LOCAL_MACHINE\SYSTEM����,對應的存儲文件是\Windows\System32\config\SYSTEM����,其作用是存儲計算機硬件和系統(tǒng)的信息。
- NTUSER.DAT:對應的注冊表分支是HKEY_CURRENT_USER�,存儲在用戶目錄下�,與其他注冊表文件是分開的���,主要用于存儲用戶的配置信息��。
- SAM:分支是HKEY_LOCAL_MACHINE\SAM�����,存儲在C:\Windows\System32\config\SAM文件中��,保存了用戶的密碼信息。
- SECURITY:對應的分支HKEY_LOCAL_MACHINE\SECURITY�����,存儲在C:\Windows\System32\config\SECURITY文件中�����,保存了安全性設置信息����。
- SOFTWARE:分支是HKEY_LOCAL_MACHINE\SOFTWARE����,文件存儲在C:\Windows\System32\config\SOFTWARE中�����,保存安裝軟件的信息��。
修改注冊表的主要方式有:1、使用提供Windows提供的注冊表編輯器:%systemroot%\regedit.exe;2����、使用reg命令��,可以對注冊表進行增刪改查、導入導出注冊表文件(reg文件)、導入導出或加載配置單元(RegHive)等操作����;3����、使用reg文件�,用戶可以通過注冊表編輯器導出注冊表某些項為一個reg文件,反之可以導入一個reg文件將項目還原或者修改�。
此外�����,為了防止注冊表出錯和損壞,Registry hives還包括注冊的事務日志文件和注冊表的備份文件。事務日志文件名與注冊表文件一致����,且在同一個路徑中�����,只是后綴不同�����。事務日志文件以.LOG為后綴��,多個日志后綴會顯示LOG1、LOG2這樣�。(如果要查看這些日志文件���,需要打開文件夾選項��,取消勾選“隱藏受保護的操作系統(tǒng)文件”)
備份文件則在\Windows\System32\config\RegBack\路徑中。
在發(fā)生修改將數據寫入到主文件之前,Hive寫入器會先將這些數據存儲在事務日志文件中���,如果寫入事務日志時發(fā)生錯誤(比如系統(tǒng)崩潰),則主文件不會受影響。如果寫入主文件時發(fā)生錯誤,可以通過事務日志包含的數據恢復主文件。
四��、獲取和分析Hive
要獲取Hive����,可以通過reg save命令創(chuàng)建Registry Hives的副本�。(在管理員權限的命令提示符中執(zhí)行)
C:\WINDOWS\system32>reg save hklm\sam c:\sam
操作成功完成��。
C:\WINDOWS\system32>
分析Hive可以使用開源軟件RegRipper��,RegRipper是一個用perl編寫的開源工具,可以從注冊表中提取和解析各種信息(Key、value�、data)以供取證人員進行分析�。
RegRipper項目地址:https://github.com/keydet89/RegRipper3.0
打開RegRipper軟件���,選擇Hive文件�����,設置好報告存儲路徑,選擇好Profile�����,然后點Rip It
它會創(chuàng)建兩個文件�����,一個是日志文件�,一個是報告文件
打開SAM hive的分析報告文件�����,可以看到用戶和用戶組的詳細信息
五����、取證實戰(zhàn)
來源:Cynet應急響應挑戰(zhàn)賽
題目描述:Podrick 說在2020 年 2 月 3 日午餐時間(下午 12:00 左右)�,有一個惡意的 USB 設備插入了他的電腦。他還提到他看到他的一位同事——Theon G��,手里拿著 USB設備離開了他的辦公室��。但Theon 聲稱他進入辦公室是為了拜訪 Aria(與Podrick在同一辦公室)����。見Aria不在�����,他便離開了辦公室�。Podrick沒有鎖屏的習慣����,他懷疑Theon趁他不在的時候竊取了他的數據���。
提示:1�����、檢查Podrick的電腦����;2�、確定2020年2月3日,是否有USB設備連接到Podrick的PC�?�����;3、提交可疑 USB 設備的Serial/UID
題目提供的文件是幾個Hive文件
這些文件代表什么���,在前面的小節(jié)中都已經介紹過了,除了Amcache.hve��,這是Win8及更高版本的系統(tǒng)才有的�����。它存儲與執(zhí)行程序相關的信息�,當用戶執(zhí)行某些操作(例如運行基于主機的應用程序��、安裝新應用程序或從外部設備運行便攜式應用程序)時�,它會記錄程序相關的信息:如程序的創(chuàng)建時間、修改時間���、名稱、描述����、程序廠商和版本、程序的執(zhí)行路徑、SHA-1哈希值等。即使程序從系統(tǒng)中刪除�,這些信息依然存在�����。
回到題目,我們要調查USB使用痕跡�����,根據前面的知識�����,我們需要分析SYSTEM這個Hive文件��。
打開RegRipper工具,加載提供的SYSTEM文件,導出分析報告����。
打開報告文件����,通過搜索USBSTOR(這個key(SYSTEM\CurrentControlSet\Enum\USBSTOR)存儲了任何曾經連接過系統(tǒng)的USB設備的產品信息和設備ID)���,可以找到有關USB設備的注冊表信息��。
通過查找和篩選比對���,最終我們找到2020-12:12:32有一個USB設備插入了電腦�����,Serial/UID是: 4C530000281008116284
參考資料:
Registry Hives - Win32 apps | Microsoft Docs https://docs.microsoft.com/en-us/windows/win32/sysinfo/registry-hives
注冊表 - 維基百科�����,自由的百科全書 https://zh.wikipedia.org/wiki/%E6%B3%A8%E5%86%8C%E8%A1%A8
regf/Windows registry file format specification.md at master · msuhanov/regf · GitHub https://github.com/msuhanov/regf/blob/master/Windows%20registry%20file%20format%20specification.md
本文涉及相關實驗:FastIRCollector:Windows取證利器 https://www.hetianlab.com/expc.do?ec=ECID9d6c0ca797abec2016100814354600001&pk_campaign=toutiao-wemedia(FastIR Collector是一個Windows下的取證/信息收集工具��,收集的東西攬括了所有你能想到的東西,不限于內存�����,注冊表�����,文件信息等�����。本實驗將介紹FastIR Collector在windows 7下的使用。)
腦怎么恢復注冊表�����?如果注冊表不小心刪除或出現問題�,可以通過恢復注冊表的方式來解決,下面就給大家分享復原注冊表的操作方法��。
操作方法:
1���、如果系統(tǒng)的注冊表有備份的完整存檔��,我們可以使用系統(tǒng)本身備份的注冊表文件替換現有的�����,可以直接導入注冊表;
2、有注冊表內容的文本保存格式為*.reg是注冊表的格式�,之后雙擊就導入了;
3���、如果電腦還能進入系統(tǒng)��,那么單擊“開始”“運行”,或者鍵盤的“Win+R”�,調出運行��,輸入cmd,打開命令行窗口��,通過copy命令將C:windows/system32/config/RegBack目錄下的所有文件都拷貝到C:windows/system32/config目錄下�,然后重啟電腦即可解決問題;如圖所示:
4、如果電腦已經不能進入系統(tǒng)���,我們可以用制作的U大俠U盤啟動電腦進入到WINPE,然后進行上述操作����,也是可以恢復注冊表的�����。
5、還可以使用Win7系統(tǒng)自帶功能還原注冊表���,單擊“開始”“運行”,或者鍵盤的“Win+R”���,調出運行,輸入regedit.exe����,打開注冊表編輯器;如圖所示:
6��、在菜單欄中,單擊“文件”“導入”���,在彈出的“導入注冊表文件”對話框��,選擇需要還原的注冊表文件����,即可還原注冊表文件���。稍等片刻��,彈出提示信息框��,提示成功導入注冊表。單擊“確定”按鈕,完成注冊表的還原操作���。如圖所示:
