返回
windows操作系统注册表检验

windows操作系统注册表检验

ID:34619005

大小:259.99 KB

页数:4页

时间:2019-03-08

windows操作系统注册表检验_第1页
windows操作系统注册表检验_第2页
windows操作系统注册表检验_第3页
windows操作系统注册表检验_第4页
资源描述:

《windows操作系统注册表检验》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、万方数据·经验交流·Windows操作系统注册表检验邢桂东(中国人民公安大学研究生部,北京100038)关键词:计算机取证;Windows;注册表;电子依据中图分类号:I)F794.3文献标识码:B文章编号:l008—3650(2011)02一0036一03对于计算机取证人员来说,知道如何从注册表中浏览特定信息是一项非常有用的技能。本文将介绍如何发现相关信息。注册表是Windows操作系统的核心。它实质上是一个庞大的数据库,存放有计算机硬件和全部配置信息、系统和应用软件的初始化信息、应用软件和文档文件的关联关系、硬件设备说明以及各种网络状态信息和数据。可以说

2、计算机上所有针对硬件、软件、网络的操作都是源于注册表的。用户可以通过系统自带的注册表编辑器对注册表文件进行编辑,其提供的功能可以对计算机配置数据进行调整。注册表是Windows操作系统最要的组件之一,注册表存储了大量系统相关的配置信息,用户的配置信息,活动行为信息,甚趸一些以明文形式保存的口令,对于计算机取证调查取证都有着十分重要的意义。1不同系统注册表文件的构成1.1Windows95、Windows98和WindowsME操作系统在Windows操作系统中不同的操作系统的注册表文件由不同的文件组成。Windows95、Windows98andWindow

3、sME操作系统的注册表文件在Win—dows目录中,包括Systemdat和User.dat两个文件。1.2WindowsNT4.0、Windows2000、WindowsⅪ’和Windows2000操作系统WindowsNT4.0。Windows2000andWindowsXP操作系统的注册表文件包括在\%SYSTEMRO—OT%\system32\conf澹\目录中的system、SAM、SE—CURITY、software和default五个文件和Docu—mentsandSettings目录中每个用户都一个NTUS—ER.DAT文件。1.3vista

4、和Win7操作系统Vista和Win7操作系统注册表中增加了一些注册表文件,以下的列表代表了在默认的Vista系统中的注册表的所有配置单元:·36·型重蕉苤!Q!!笙笙!塑C:\Windows\System32\config\RegBack\SE—CURITYC:\Windows\System32\conf追\RegBack\SOFTWAREC:\Windows\System32\config\RegBack\DE—FAUI。TC:\Windows\System32\confi趴RegBack\SAMC:\Windows\System32\config\Re

5、gBack\C()MPONENTSC:\Windows\System32\config\RegBack\SYS—TEMC:\Windows\System32\config\BCD—TemplateC:\Windows\System32\config\COMP0一NENTSC:\windows\System32\config\DEFAUI。TC:\Windows\System32\confi叭SAMC:\Windows\System32\con“g\SECURITYC:\Windows\System32\con“g\S()FTWAREC:\Windows\Sy

6、stem32\conf迢\SYSTEM??用户的NTUSER.DAT文件位于用户根目录下(\Users\username)。目前Vista和win7使用了“REGBACK”目录来备份注册表副本,不再使用Windows2000/XP/2003系统所用的“REPAIR”文件夹。现在Vista和Win7包含了一个叫“虚拟注册表”的功能,作为加强安全控制的一部分。该特性确保不让非系统管理员用户对系统注册表的某些部分进行写入,特别是在软件安装过程中。如果一个程序尝试向受保护的注册表键进行写入操作,那么这个安装程序将无缝地被转向到一个“虚拟”的包含该用户个人注册表配置单

7、元(NTUSER.【)AT)的注册表键。任何非管理员对以下注册表HKEY—I。oCAL—MA—CHINE\Software的写入尝试,将被转向到用户的配置文件的一个虚拟存储器HKEY—USERS\一Classes\VirtualStore\Machine\Software中。1.4注册表的功能注册表文件可以分为2类,系统注册表文件和个人用户注册表文件系统注册表文件。系统注册表文件s()FTwARE包含具体系统安装的软件信息;SYSTEM包含具体计算机系统配置信息,包含系统名称、硬件加载记录、盘符与及硬件对照码、启动信息、驱动信息、Windo

8、ws安装设置信息、系统时间及时区设置等信息;DEFA

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。