Điều tra an ninh mạng với Registry trên Windows là quá trình phân tích Registry để phát hiện các dữ liệu, lịch sử hoạt động trên máy tính. Registry trên hệ điều hành Windows lưu giá trị được gọi là thời gian ghi cuối cùng (LastWrite), là thời gian lưu việc sửa đổi gần nhất. Giá trị được chứa trong 1 cấu trúc thời gian có tên là FILETIME và là giá trị chỉnh sửa cuối của khoá Registry. Thời gian LastWrite time được thay đổi khi khoá registry được tạo ra, truy cập, chỉnh sửa hoặc bị xoá. Thông tin về thời gian LastWrite của khoá có thể cho phép chuyên gia điều tra phân tích suy luận về ngày hoặc thời gian gần đúng của một sự kiện.
Vị trí của Autorun trong Registry
Ví trí Autorun là các khoá Registry trên hệ điều hành Windows được sử dụng để gọi đến các chương trình hoặc ứng dụng quá trình khởi động của hệ điều hành. Nếu máy tính nghi ngờ đã bị xâm nhập, các vị trí autorun sẽ cần phải xem xét lại, nếu người dùng không truy cập vào được thì khả năng hệ thống của họ đã bị xâm phạm để chuẩn bị cho tấn công. Trong trường hợp như vậy, vị trí autorun có thể chứng minh hệ thống đã bị cài đặt bởi mã độc hay backdoor, đây là những thủ đoạn mà tin tặc cố tính tạo ra để kiểm soát được hệ thống. Một số vị trí autorun phổ biến được liệt kê theo danh sách dưới đây:
- HKLM\Software\Microsoft\Windows\CurrentVersion\Runonce
- HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
- HKLM\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run
- HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
- (ProfilePath)\Start Menu\Programs\Startup
Danh sách MRU (MRU lists) trong Registry
MRU (tên tiếng anh là Most Recently Used) hay còn được gọi là danh sách tài nguyên được sử dụng gần nhất là danh sách chứa các tài nguyên được người dùng sử dụng trong quá trình làm việc. Có rất nhiều danh sách MRU nằm trong các khóa Registry khác nhau. Registry trên hệ điều hành Windows duy trì danh sách các MRU trong trường hợp người dùng cần sử dụng chúng trong tương lai. Một ví dụ về danh sách MRU nằm trong Windows Registry là khóa RunMRU. Khi một người dùng gõ lệnh hộp “Run” ở danh mục Start, một bản ghi sẽ được thêm vào khóa Registry. Vị trí được thêm tại đường dẫn HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU. Thứ tự thời gian của việc nhập lệnh thông qua hộp “Run” được xác định bằng cách nhìn vào cột dữ liệu của giá trị “MRUList”. Như trên hình minh họa chữ cái “a” đại diện cho lệnh đầu tiên được nhập vào hộp “Run”, và chữ cái “g” thể hiện lệnh này là lệnh cuối cùng được nhập vào hộp “Run”.
Khóa Mạng không dây (Wireless Networks)
Khi máy tính muốn kết nối vào một mạng hoặc điểm truy cập không dây thì cần phải biết SSID của mạng đó. Một SSID có thể được tìm thấy trong Registry tại khóa HKLM\SOFTWARE\Microsoft\WZCSVC\Parameters\Interfaces. Khóa Registry cha chứa nhiều khóa con và khóa con này chứa giá trị “ActiveSetting” và “Static#0000”. Ngoài ra, cũng có giá trị bắt đầu bằng “Static#” và được đánh số tuần tự. Dữ liệu nhị phân của giá trị “Static” là các SSID của tất cả các điểm truy cập không dây mà máy tính đã từng kết nối. Có thể xem bằng cách chọn nhấn phải vào giá trị và chọn nút “Modify”.
Khóa hỗ trợ người dùng (UserAssist)
Khóa UserAssist tại đường dẫn HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist có chứa hai hoặc nhiều hơn hai khóa con có tên là hệ thập lục phân (hệ hexa) xuất hiện như là các GUIDS. Mỗi khóa con ghi lại giá trị liên quan đến các đối tượng cụ thể mà người dùng đã truy cập vào hệ thống, ví dụ như ứng dụng Control Panel, các tệp tin shortcut và các chương trình. Với khóa UserAssist, một chuyên gia điều tra có thể hiểu rõ hơn về các loại tệp tin và ứng dụng đã được truy cập trên một hệ thống cụ thể tuy không chính xác về thời gian truy cập nhưng chuyên gia điều tra có thể nhận biết một số hành động cụ thể của người dùng.
Khóa LAN computers
Khóa Registry HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ComputerDescriptions chứa thông tin về các máy tính đã kết nối thông qua mạng nội bộ LAN. Khóa ComputerDescription rất hữu ích trong việc xác định người dùng có được kết nối một số máy tính hoặc thông một mạng LAN cụ thể hay không.
Các thiết bị USB
Bất cứ lúc nào khi có thiết bị kết nối đến cổng USB, trình điều khiển sẽ được truy vấn và thông tin về các thiết bị đó sẽ được lưu trong Registry tại khóa HKLM\SYSTEM\ControlSet00x\Enum\USBSTOR. Khóa này chứa nội dụng của sản phẩm và các giá trị ID của bất kì thiết bị nào đã kết nối đến hệ thống. Dưới mỗi thiết bị, có 1 giá trị có là Device ID đây là gán giá trị duy nhất của nhà sản xuất gán cho mỗi thiết bị. Do đó, các thiết bị USB có thể được xác định thông qua giá trị ID của chúng.
Khóa Internet Explorer
Khóa Internet Explorer lưu trữ dữ liệu trong khóa HKCU\Software\Microsoft\Internet Explorer. Trong đó khóa HKCU\Software\Microsoft\Internet Explorer\Main là một trong ba khóa con và có chứa thông tin về thiết lập của người dùng trong trình duyệt Internet Explorer. Khóa này có lưu thông tin về tìm kiếm, trang khởi đầu và các thiết lập định dạng. Khóa con thứ hai là HKCU\Software\Microsoft\Internet Explorer\TypedURLs, khóa này có chứa lịch sử duyệt web của người dùng.
Khóa con thứ ba là HKCU\Software\Microsoft\Internet Explorer\Download Directory, khóa này chứa thư mục cuối cùng được sử dụng để lưu trữ tệp tin đã được tải xuống từ trình duyệt Internet Explorer.
