注册表Windows注册表Hive文件恢复

Windo ws注册表Hive文件恢复

[摘 要]注册表是Windows操作系统、各种硬件设备以及应用程序得以运行的核心“数据库”因此它记录着犯罪者进行犯罪的大量证据成为打击计算机犯罪非常重要的线索和证据来源。本文对H iv e文件的内部结构进行分析具体探讨操作系统中各种H ive文件并利用内部结构算法来恢复H ive文件。实验证明本文提出的方法在H ive文件恢复方面具有较高的准确性。

[关键词]计算机犯罪 注册表 文件恢复

1.引言

最近几年Windows注册表的取证分析技术逐渐成为计算机取证研究的重点之一。但是基于Windows注册表的取证分析技术还处于起步阶段大部分的研究主要集中在注册表的分析缺乏对注册表H iv e文件恢复的研究。 1999年Russ ino vic h在《注册表内部结构》中描述注册表的物理结构[1]。 2005年HarlanC arve y[2]提出了把注册表作为计算机取证的信息来源。2007年 Timo thy Morgan在文献[3]中提出的算法能够从H iv e文件中恢复出被删除的数据。对于操作频繁的Hive文件此算法恢复效果就不是很理想。 2008年 Jolanta Thomassen[4]在她的硕士毕业论文中深入浅出的介绍了H ive文件内部各组成部分的作用和原理并且改进了被删除注册表数据的恢复算法。 2008年 Brendan Do lan-Gavitt在文章[5]中详细说明了注册表存储在物理内存中的结构并开发了基于内存的注册表取证工具。

2.H ive文件介绍

Windows XP的注册表逻辑上是以树形结构组织。它由两个注册表子目录树组成 HKEY_LO CAL_M AC HIN E HKLM和HK EY_US ERS HKU。其实在物理上注册表信息存储在多个独立的二进制文件中这些文件被称为H iv e。表1.1介绍注册表路径对应的H ive文件及其相关文件。

1999年 Russ inovich首先描述Windows注册表Hive文件的的内部结构并且说明各个组成部分的相互关系。具体内部结构如图1.1所示。注册表H ive文件包含头部块Base block和HBINHive Bin。头部块和HBIN的大小都是4096字节的整数倍。注册表的第一个块被称为头部块在头部块后面是H iv e文件所有HBIN块每个HBIN包含一个HB IN头部和多个ce ll。头部块包含H ive文件的一些重要信息如魔幻数“re gf”、该H ive文件的名称、存储路径、修改日期和到根项的偏移量。HB IN头部包含魔幻数“hb in”、到第一个HB IN块的距离和该HB IN块的大小等信息。

图1.1 Hive文件内部结构

2.1分析