取证分析之谁动了我的电脑（一）

今儿在freebuf上突然看到一篇取证的博文，想到以前一直想对自己的电脑进行一次取证分析，大概的情形是电脑放在宿舍，回来时发现屏幕是亮的，竟然显示的是桌面，这时候就不禁要想一想是不是我的电脑被人动过了，可是自己的取证水平有限，什么翻看系统日志，看了看去都找不到什么有用的信息，于是借那篇博文来好好学习一下计算机的取证分析，freebuf原文地址：传送门

1.无线网络信息取证

这里的无线网络信息取证不是指在无线局域网的流量嗅探，而是指曾经连过的无线网络信息，这在取证中十分重要，可能一个无线网络名称就能暴露黑客的攻击位置，一般情况下利用公共网络来作为跳板进行下一步的渗透，这是黑客的常用手法。因此查看电脑里曾经连过的无线网络也就变得十分重要~

这是无线网络信息在注册表中的位置，注册表的打开姿势是在“运行”中输入regedit，我们常用的一般就是cmd指令，相应的这里打开注册表输入regedit即可

然后我们根据上面给出的无线网络位置去寻找。。。

这里以笔者的电脑为例，profiles下大概有10个注册表信息，每个注册表都包含一个无线的信息，在“ProfileName”中我们可以看到无线的名称，还能看到连接以及终止连接的时间（这里的十六进制待我去研究一下再回来解释具体怎么算）

2.近期打开的文件（jpg、docx、MP4）

在wps中我们能够看到最近使用的文件，由于刚清理过硬盘垃圾，因此所有曾经的使用记录都没了，在这里新建了一个test.docx来做测试，接下来我们去注册表中去寻找这个test.docx，但是我没想到，不仅仅是docx类型，还揪出了其他各式类型的文件！

接下来我们继续开始我们的注册表探索之旅~

找到了，会惊奇的发现，什么7z、html、jpg、docx类型的文件应有具有，下面我们来看看是不是我们取证分析中需要用到的~

点击docx，由于上午的垃圾清理，记录都没了，，，只有一条记录，我们点击这个键，看看能否对我们有帮助

我们可以看到文件名test.docx，至此我们新建的文档已经被我们找到，可惜的是看不到具体的内容。。。

接下来我们看看能不能从这个使用记录来挖掘其他有用的信息~

这是下午做isis实验时用到的一个iou压缩文件

这是最近打开的文件夹信息~

至此，我们可以找到所有的文件使用信息，当然只限于上述注册表的后缀，看着感觉蛮全的~

对文件的分析告一段落，接下来我们来看一看其他在取证中扮演重要角色的信息

3.网页地址信息

有时如果我们需要去找网页地址信息，一个方法是看浏览器中的历史记录，还有一种方法就是查看注册表~虽然感觉查看历史记录很方便，但是毕竟本篇主题是注册表的取证分析，那还是乖乖的来研究吧，换句话说，看历史记录多low~

由于是我一般使用Firefox，因此ie不怎么用，所以也就只有一条最原始的记录，不过win10现在默认的也是edge，更不谈用户会使用360、chrome等诸多浏览器，因此这个功能其实很鸡肋。。

4.启动项

一般情况下木马如果是开机启动，然后隐藏窗口的话，那么在这个启动项里就有木马的痕迹遗留

笔者对启动项有强迫症，凡是没用的我在360启动项里都禁止了，所以启动项比较少，也没什么可疑的程序。。

5.U盘等存储设备

这里我们对u盘存储设备也需要进行取证分析，假如最简单，你现在外出，电脑就扔在办公室里，别人插上u盘拷走你的数据，这时候就必须对插入的u盘设备进行取证分析

这里看到最近的u盘插入记录，有一个Kingston DataTraveler 2.0 USB Device，实际上这就是笔者的u盘。。

最后我介绍一个针对exe文件的取证分析工具，这款软件可以帮助我们看到系统曾经运行的哪些exe文件，这样配合上面的系统本地文件记录的查找，在文件使用上应该说可以做到一个很全面的取证，当然上述取证分析可能会比较麻烦，不过就权当学习吧~不然360里面总是清理垃圾都不知道清理的什么。。。

这款软件叫做LastActivityView，好像是基于系统应用日志做的，可以将我们最近应用的程序罗列出来，十分好用，对我们的取证分析也是十分有帮助的~

我看到了360又在偷偷升级。。。

附上软件的下载地址：传送门

 

相关推荐: 逆向破解的入门题目

我选取了两条实验吧里的逆向题目，题目不是很难，对于刚刚入门逆向的人来说，我觉得十分有用，由于自身逆向水平有限，有很多地方自己也是一知半解，不多说，开始我的表演~   1.该题不简单 下载压缩包的程度解压后得到一个exe文件，打开运行之 可以看到hel…