前置知识

HKEY_USERS：包含所有加载的用户配置文件

HKEYCURRENT_USER：当前登录用户的配置文件

HKEY_CLASSES_ROOT：包含所有已注册的文件类型、OLE等信息

HKEYCURRENT_CONFIG：启动时系统硬件配置文件

HKEYLOCAL_MACHINE：配置信息，包括硬件和软件设置

存放位置：

HKLM\BCD: %SystemRoot%\system32\config\BCD-Template

HKLM\SYSTEM: %SystemRoot%\system32\config\SYSTEM

HKLM\SAM: %SystemRoot%\system32\config\SAM

HKLM\SECURITY:%SystemRoot%\system32\config\ SECURITY

时间种类：

FILETIME：64位值，代表间隔多少个单位为100纳秒的时间（从UTC1601年1月1日开始）

Unix Time：32位值，代表间隔多少秒（从UTC1970年1月1日开始）。

DOS Date/Time：两个16位值，详细记录了当地时间和年月日。

数据类型:

REG_SZ：字符串类型，文本字符串

REG_BINARY：二进制类型，不定长度的二进制值，以16进制形式显示

REG_DWORD：双字，32 位的二进制值，显示为 8 位的十六进制值

REG_MULTI_SZ：多字符串，有多个文本值的字符串，字符串间用 nul 分隔、结尾两个 nul

REG_EXPAND_SZ:可扩展字符串，包含环境变量的字符串

注册表中的证据

通过Autoruns我们可以获得如下:

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

HKLM\SOFTWARE\Wow6432Node\Microsoft\Active Setup\Installed Components

HKLM\SOFTWARE\Classes\Protocols\Filter

HKLM\SOFTWARE\Classes\Protocols\Handler

HKCU\Software\Classes\*\ShellEx\ContextMenuHandlers

HKLM\Software\Classes\Folder\ShellEx\DragDropHandlers

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\ShellIconOverlayIdentifiers

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

HKLM\Software\Wow6432Node\Microsoft\InternerExplorer\Extensions

HKLM\System\CurrentControlSet\Services

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Font Drivers

HKCU\SOFTWARE\Classes\Htmlfile\Shell\Open\Command\(Default) HKLM\System\CurrentControlSet\Control\Session Manager\KnownDlls

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries

HKLM\System\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries64

HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order HKLM\Software\Microsoft\Office\Outlook\Addins HKLM\Software\Microsoft\Office\Excel\Addins

HKLM\Software\Wow6432Node\Microsoft\Office\Excel\Addins HKLM\Software\Microsoft\Office\PowerPoint\Addins

HKLM\Software\Wow6432Node\Microsoft\Office\PowerPoint\Addins HKLM\Software\Microsoft\Office\Word\Addins

HKLM\Software\Wow6432Node\Microsoft\Office\Word\Addins

无线证据：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles

时间、编号

最近访问文件：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

USB设备：

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USB\

网络相关：

IP地址，子网掩码、DHCP服务器租用IP的时间HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces

访问记录：

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\TypedURLs

挂载设备：

HKEY_LOCAL_MACHINE\System\MountedDevices