Windows Forensics 1（windows 取证）

第一题：

关于用户的基本都在sam注册表中，所以使用Registry explore，添加一个sam进来检查，通常sam注册表都是在C:\Windows\System32\config中

接着就可以开始我们的检验了。进入到以下目录中：。

之后我们就可以看到这个列表了。

根据题目：uid100x的有3个所以有三个用户，并且看到只有thm-user2没有上一次登录时间，所以可以推断出该用户没有登录过，最后看password hint，thm-4n6中的是count，因此结束。

第二题：

文件的注册表地址是：

然后找到题目的文件名，然后查看打开时间

第三题：

程序的完整路径是BAN/DAM的内容：

之后逐个找到我们要的地址即可。

第四题：

友好名就会出现在sofware注册表中。

所以访问SOFTWARE\Microsoft\Windows Portable Devices\Devices找到友好名为usb，然后因为这里只有最后写入，没有上一次登录，所以我们要记住他的ID

去到SYSTEM\CurrentControlSet\Enum\USBSTOR找到对应的ID号查看他上一次登录的时间。

SYSTEM\CurrentControlSet\Enum\USBSTOR\Ven_Prod_Version\USBSerial是跟踪设备首次连接的时间、最后一次连接的时间以及设备最后一次从系统中删除的时间。

注册表对应的常见功能地址：

1.注册表在系统的存放点：C:\Windows\System32\Config

2.Amcache 蜂巢： C:\Windows\AppCompat\Programs\Amcache.hve

3.SAM类：（一般用户与组的信息）

SAM\Domains\Account\Users     SAM 数据湖和用户信息

4.software类：

SOFTWARE\Microsoft\Windows NT\CurrentVersion    操作系统版本

SOFTWARE\Microsoft\Windows Portable Devices\Devices    友好名

5.system类

SYSTEM\ControlSet00X  控制系统启动的机器配置数据的密钥是控制集

SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName 计算机名称

YSTEM\CurrentControlSet\Control\TimeZoneInformation 时区信息

SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces 网络接口与历史网络

SYSTEM\CurrentControlSet\Services 自动启动程序（start为0x20为启动）

SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache应用程序兼容性缓存

SYSTEM\CurrentControlSet\Enum\USBSTOR\Ven_Prod_Version\USBSerial是跟踪设备首次连接的时间、最后一次连接的时间以及设备最后一次从系统中删除的时间

SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} 和SYSTEM\CurrentControlSet\Services\dam\UserSettings\{SID} 是usb取证。

6.NTUSER类（一般都为文件类型）

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs  最近的文件

NTUSER.DAT\Software\Microsoft\Office\VERSION最近打开的文档列表

NTUSER.DAT\Software\Microsoft\Office\15.0\WordMicrosoft Office 版本的版本号

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU打开/保存和最后访问对话框最近使用列表

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\LastVisitedPidlMRU   打开/保存和最后访问对话框最近使用列表