Elcomsoft Quick Triage: 分类调查取证 Windows 注册表能获取哪些证据

本文内容：

• Windows 注册表架构基础：配置单元、事务日志及其归因
• 程序执行的证据：“谁”和“什么”
• 文件访问和用户导航的证据
• 外部设备和 USB 连接的证据
• 网络和系统配置证据
• Windows 11 特定痕迹和近期更新
• Triage 分类策略：可忽略的痕迹（降噪）
• Elcomsoft Quick Triage 在线系统分析，规避取证与安全之间的冲突
• 结论

Windows 注册表仍然是重建系统活动和用户行为时信息密度最高的存储库之一。它远不止是一个配置数据库，更是记录 Windows 10 和 11 系统中程序执行、数据访问和持久化机制的关键历史档案。虽然自动化取证工具对于提取和解析这些数据至关重要，但正确解读结果仍然是调查人员的责任。本文聚焦于具有显著取证意义的注册表项。我们将超越旧版指南中常见的标准枚举，建立技术痕迹与其在调查中具体价值之间的关联，区分可操作的证据与系统噪音。

注册表取证的一个主要挑战——也是自动化分析软件面临的一个重大障碍——在于相关数据的分片化。关键指标很少按顺序存储。通常，某个特定的痕迹（例如设备连接或系统事件）仅在一个配置单元中记录为一个不透明的标识符(ID)或 GUID，而将该 ID 转换为人可读名称或上下文的信息却存储在完全不同的、不相关的注册表项中。软件必须弥合这些差距，才能呈现出一幅连贯的画面。

第二层复杂性涉及高级别的交叉引用分析。真正的取证洞察力需要将焦点从孤立的数据点提升到相互关联的事件链。例如，证明数据外泄需要同步来自不同来源的痕迹：USB 设备插入事件、同时发生的访问特定文件共享 URL 的浏览器历史记录、随后的网络流量峰值，以及最终的设备移除。同样，确定恶意意图通常需要将一个注册表项中的程序执行时间戳与别处记录的特定文件读/写操作关联起来。本文将对这些关联进行梳理。

Windows 注册表架构基础：配置单元、事务日志及其归因

成功的注册表分析需要将注册表架构理解为一个事务性数据库，而非静态文件系统。理解 Windows 如何通过配置单元和事务日志将数据提交到磁盘，对于恢复已删除的注册表项以及准确解读可能误导调查人员的时间戳至关重要。

Windows 注册表由存储在磁盘上的二进制文件——“配置单元”组成。当用户与系统交互时，更改不会立即刷新到主配置单元文件（例如 NTUSER.DAT）。而 Windows 则利用事务日志系统来确保数据完整性。

在 Windows 10 和 11 中，该系统通常涉及一个主配置单元文件和关联的事务日志，通常命名为.LOG1 和 .LOG2。

• 主配置单元：包含稳定、已提交的注册表数据。
• 事务日志 (.LOG)：这些文件包含不同的“脏页”——已在内存中更改但尚未完全同步到主配置单元的更改。

取证意义：事务日志的存在对于恢复“已删除”的证据至关重要。如果威胁行为者删除了一个持久化注册表项（例如恶意的 Run 条目），然后系统被立即控制或崩溃，该注册表项创建及后续删除的记录在某些情况下可能只能从 NTUSER.DAT.LOG* 或 SOFTWARE.LOG* 文件中恢复。调查人员通常使用能同时解析配置单元及其日志的工具来重建注册表的最新状态，常常能恢复从活动视图中看似“消失”的数据。这些日志是一种一致性机制，而非历史日志，因此并非都能保障可以恢复。

将活动归因于特定用户

归因——将某个行为链接到特定的自然人——依赖于区分整机范围的配置单元和用户特定的配置单元。了解哪个配置单元存储了特定的痕迹，可以让检验人员判断该行为是由特定登录用户执行，还是由系统级进程执行。

• SYSTEM (所有用户/机器) %SystemRoot%\\System32\\config\\SYSTEM：硬件配置、USB 历史、时区、已挂载设备。对于确立数字犯罪的“现场”至关重要。
• SOFTWARE (所有用户/机器) %SystemRoot%\\System32\\config\\SOFTWARE：已安装软件、全局设置、网络配置文件。
• SAM (所有用户/机器) %SystemRoot%\\System32\\config\\SAM：用户帐户元数据（登录次数、密码重置时间、组成员身份）。
• SECURITY (所有用户/机器) %SystemRoot%\\System32\\config\\SECURITY：本地安全策略和权限分配。
• NTUSER.DAT (本地用户) C:\\Users<User>\\NTUSER.DAT：主要的归因来源。跟踪特定用户的程序执行、文件访问和设置。
• UsrClass.dat (本地用户) C:\\Users<User>\\AppData\\Local\\Microsoft\\Windows\\UsrClass.dat：存储用户的 ShellBags 和MUICache。常被忽视，但对 Windows 10/11 的痕迹分析至关重要。
• Amcache.hve (所有用户/机器) C:\\Windows\\AppCompat\\Programs\\Amcache.hve：应用程序兼容性数据。存储已执行二进制文件的 SHA-1 哈希值。

“最后写入”时间戳

每个注册表项都像一个文件夹，带有一个“最后写入”时间戳，类似于文件的“最后修改”时间。但是，各个值（项内的数据）没有时间戳。这种结构上的限制造成了“时间戳悖论”：调查人员知道在特定时间某个项内发生了更改，但不一定知道是哪个值被影响了。

例如，如果一个注册表项 Run 的时间戳是 2025-10-27 14:00:00，并且它包含三个值（Malware、GoogleUpdate、OneDrive），这个时间戳只告诉调查人员这三个值中的一个在那时被添加或修改了，并未明确指出是哪一个。

要解决这个问题，可以尝试通过检查该值引用的可执行文件的创建时间（例如，malware.exe 的创建时间是否与注册表项更新匹配？）来关联注册表时间戳与文件系统时间戳。

程序执行的证据：“谁”和“什么”

在几乎每个数字调查中——无论是涉及恶意软件感染、内部数据窃取还是未经授权的使用——首要问题都是：“特定用户是否运行了这个特定程序？” Windows 10 和 11 利用一套兼容性和跟踪功能，这些功能无意中创建了程序执行的强大历史记录。通过解析这些痕迹，取证检验人员可以重建详细的执行历史，区分恶意文件仅存在于磁盘上和被用户或脚本实际利用。

UserAssist：记录图形界面交互

UserAssist 是一个位于 NTUSER.DAT 配置单元中的用户特定痕迹，它跟踪通过图形用户界面(GUI)启动的程序。它主要用于填充开始菜单中的“常用程序”列表，因此是支持“用户主动点击或启动了应用程序”这一结论的高保真来源。

注意：在现代 Windows shell 工作流中，此痕迹并不能保证确切执行。如果用户使用 Windows 启动/搜索菜单中的“跳转到文件位置”，则会创建 UserAssist 条目；即使实际并未执行，运行计数和最后运行时间也会更新。

• 位置： NTUSER.DAT\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\UserAssist{GUID}\\Count
• 取证意义： UserAssist 旨在填充开始菜单中的“常用程序”列表。因此，它跟踪通过图形用户界面(GUI)启动的程序，例如双击桌面图标或从开始菜单中选择项目。它通常不跟踪命令行执行（例如，运行 cmd.exe 并输入 whoami）。
• 结构和解码： UserAssist 下的子项使用 GUID 命名。Windows 10/11 中两个常见的 GUID 是：
  • {CEBFF5CD-ACE2-4F4F-9178-9926F41749EA}：可执行文件执行。
  • {F4E57C4B-2036-45F0-A9AB-443BCFE33D9F}：快捷方式(.LNK)执行。 这些项内的值经过ROT-13编码。例如，msedge.exe的条目在注册表中会显示为zfrqtr.rkr。取证工具会自动应用ROT-13密码解码这些名称。
• 数据点：
  • 运行计数：用户启动应用程序的次数。高运行计数（例如50+）表示习惯性使用，而计数为1可能表示单次受损会话。
  • 焦点时间：Windows 跟踪应用程序作为前台活动窗口的持续时间。这是衡量意图的关键指标。如果一个远程访问工具(RAT)运行计数很高但焦点时间为零，表明它在后台运行，用户未积极与之交互。相反，活跃的焦点时间表明用户正在与该工具交互。
  • 最后执行时间戳：一个64位文件时间值，指示最后一次启动的时间。
• Windows 10/11 细微差别：在现代 Windows 中，UserAssist 也跟踪通用 Windows 平台(UWP)应用（也称为 Metro 或商店应用）。这些应用的条目可能看起来不同，通常引用 AppUserModelID（例如 Microsoft.WindowsCalculator_8wekyb3d8bbwe!App），而不是简单的文件路径。

AppCompatCache (ShimCache)：历史执行记录和存在证据

应用程序兼容性缓存(ShimCache)是 SYSTEM 配置单元中的一个系统级痕迹，用于识别需要兼容性“填充程序”的应用程序。对于调查人员来说，它提供了被执行的、甚至只是通过资源管理器浏览过的文件的有价值的历史记录，常常能支持“某个文件在被删除后很久仍然存在于系统上”的结论。

请注意，即使有了较新的标志，ShimCache 也不能可靠地证明执行。相关研究仍在发展，且不同版本的行为存在差异。虽然 ShimCache 能证明存在和交互，但执行标志是支持性的，而非决定性的，需要与其他证据（BAM、Prefetch、AmCache、UserAssist）相互印证。

• 位置： HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\AppCompatCache
• 取证意义： 应用程序兼容性缓存，通常称为 ShimCache，被 Windows 用来识别某个应用程序是否需要特定的“填充程序”（兼容性修复）才能正确运行。
  • 存在证据：ShimCache 跟踪被执行的或通过资源管理器浏览过的文件。它支持“某个特定文件在特定时间存在于特定卷的特定路径”这一结论（时间戳的解释因版本和解析器而异）。
  • 易失性和关机：ShimCache 数据保存在 RAM 中，仅在计算机关机或重启时写入注册表配置单元(SYSTEM)。
  • 调查提示：在已经运行数周的在线系统上，注册表项将是陈旧的。需要内存取证（RAM捕获）才能获取当前的 ShimCache。根据系统状态，残留也可能存在于 hiberfile.sys 和 pagefile.sys 中。在已关闭电源的机器（扣押的硬盘）上，注册表保存的是上次关机时的状态。
  • 执行标志：在 Windows 10 和 11 中，最近的研究在 ShimCache 数据结构中识别出了标志（通常解析为“插入标志”或“执行标志”），可以帮助区分一个可执行文件是仅仅在文件夹窗口中可见，还是实际运行过。
• 取证效用：ShimCache 对于识别已被删除的“释放型”恶意软件非常宝贵。即使 malware.exe 文件已从磁盘上擦除，其在 ShimCache 中的条目仍然存在，支持“它在删除前曾存在于系统上”的结论。

AmCache：哈希存储库

虽然像 UserAssist 这样的痕迹主要依赖于文件名和路径，但 AmCache 通过哈希将执行直接链接到文件内容，引入了更高级别的保真度。这个独立的配置单元对于识别重命名的恶意软件——威胁行为者将 Mimikatz 等工具伪装成无害的系统进程——以及验证事件中使用的可执行文件的确切版本至关重要。

• 位置： C:\\Windows\\AppCompat\\Programs\\Amcache.hve （注意：这是一个独立的配置单元文件，不属于标准的注册表配置单元。）
• 取证意义： Amcache.hve 是现代 Windows 取证中最强大的执行痕迹之一，因为它将执行链接到文件的内容（哈希），而不仅仅是文件名。
  • SHA-1哈希：AmCache 存储可执行文件和驱动程序的 SHA-1 哈希。这对于归因至关重要。如果嫌疑人将 mimikatz.exe 重命名为 svchost.exe 以隐藏它，UserAssist 会显示 svchost.exe 已运行（看起来合法）。但是，AmCache 会记录那个 svchost.exe 的 SHA-1 哈希。快速查找该哈希就会发现它实际上是 Mimikatz。
  • 卷 GUID：AmCache 将执行链接到特定的卷 GUID。这有助于调查人员确定程序是从 C:驱动器运行，还是从可移动 USB 驱动器运行。
  • 安装数据：它还跟踪软件的安装日期和卸载事件，为工具何时被引入系统提供时间线。

BAM 和 DAM：跟踪后台活动

现代 Windows 电源管理策略要求操作系统密切监控资源消耗。后台活动调节器(BAM)和桌面活动调节器(DAM)就服务于这一目的，它们创建了一个取证的旁路通道，捕获后台任务和命令行工具的执行，而这些通常是 UserAssist 等以 GUI 为中心的痕迹所遗漏的。

• 位置：
  • HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\bam\\State\\UserSettings\\{SID}
  • HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\dam\\State\\UserSettings\\{SID}
• 取证意义： 虽然它们的主要功能是通过限制资源密集型后台进程来优化电池寿命，但 BAM 和 DAM 无意中为那些无需用户界面即可运行的进程创建了一个高保真的执行日志。这使得它们对于识别“静默”恶意软件执行、后台脚本以及从不出现在开始菜单或桌面上的横向移动工具不可或缺。
• 关键局限性：
  • 7天保留期：与 Prefetch 或 UserAssist 不同，BAM 条目在许多系统上通常仅限于最近一周左右；根据操作系统行为和状态，较旧的条目可能在启动时被清除。
  • 仅限本地文件：BAM 可能无法可靠地记录从可移动介质（USB）或网络共享启动的可执行文件。它严格跟踪本地执行。
  • 设备支持：DAM 特定于支持“现代待机”的设备（平板电脑/笔记本电脑）。在标准台式机上，DAM 项通常为空；应专注于 BAM。
• 调查价值：尽管有这些局限性，BAM 仍然是支持无 GUI 后台进程执行的主要来源。
  • 弥合“GUI差距”：大多数执行痕迹（如 UserAssist）关注用户明确“点击”的内容。BAM/DAM 关注实际“运行”的内容。如果威胁行为者通过反向 shell 或计划任务执行命令行工具，UserAssist 很可能会错过它，但一旦该进程消耗系统资源，BAM 就能记录它。
  • 有效载荷成功执行的证明：在恶意软件调查中，在磁盘上找到恶意文件仅能证明其存在。在 BAM 项中找到对应的条目则有力地支持了“执行已发生”的结论。
  • 归因于受损账户：由于这些项按用户 SID 组织，它们有力地支持了归因，表明“SID结尾为-1001的账户负责执行了crypto_miner.exe”，从而区分用户驱动的入侵和系统级服务利用。

文件访问和用户导航的证据

执行痕迹能证明工具被运行，而文件访问痕迹则回答关键问题：“嫌疑人浏览、查看或访问了哪些文件或文件夹？” 这些通常被称为“Shell”痕迹，由 Windows 资源管理器界面生成。它们对于重建用户在文件系统中的导航、证明对特定文件的访问以及确定数据外泄的时间线至关重要。

ShellBags：文件夹访问的证据

ShellBags 被广泛认为是映射用户导航的最全面的痕迹。与其他跟踪特定文件的痕迹不同，ShellBags 跟踪文件夹。它们的主要取证价值在于其持久性：即使目标文件夹或整个外部驱动器已被移除，它们仍保留在注册表中。

• 位置：
  • NTUSER.DAT\\Software\\Microsoft\\Windows\\Shell\\BagMRU (以及 \\Bags)
  • UsrClass.dat\\Local Settings\\Software\\Microsoft\\Windows\\Shell\\BagMRU (以及 \\Bags)
• 取证意义： ShellBags 是用于保存在 Windows 资源管理器中查看的文件夹的视图设置（例如图标大小、窗口位置、排序方式）的注册表项。Windows 创建这些条目是为了当用户返回一个文件夹时，它看起来和离开时一样。
• 调查价值：
  • 历史地图：ShellBags创建了用户访问过的目录的持久地图，即使这些目录已不复存在。
  • 外部路径（盘符问题）：ShellBags跟踪可移动驱动器上的文件夹（例如 E:\\Stolen_Docs）。但是，需要谨慎：该痕迹记录的是逻辑路径(E:)，而不是物理设备序列号。为了证明“E:”是某个特定的金士顿 USB 驱动器，而不是本地分区，调查人员必须将 ShellBag 的访问时间戳与 MountedDevices 项中的盘符映射关联起来。
  • MTP 设备（手机/平板）：对于通过 MTP（媒体传输协议）连接的现代设备，如智能手机，ShellBags 具有高度特异性。这些条目通常引用设备的特定注册表路径或 GUID，而不是通用的盘符，这使得区分“三星 Galaxy S24”和普通 U 盘变得更加容易。
• 结构：
  • BagMRU：此项维护一个层级树状结构，镜像用户导航过的文件夹结构。它使用“Slot”编号系统将文件夹与其设置链接起来。
  • Bags：此项存储为 BagMRU 中定义的 slots 的实际视图设置（例如，“详细信息视图”、“大图标”）。

RecentDocs 和 OpenSaveMRU：识别感兴趣的文件

ShellBags 能证明用户进入了一个文件夹，而 RecentDocs 和 OpenSaveMRU 则能证明他们与特定文件进行了交互。这些痕迹是“意图”的高保真指标。特别是 OpenSaveMRU，仅在用户主动与标准的 Windows 打开/保存对话框交互以打开或保存文件时生成。在数据窃取调查中，这类证据能区分被动浏览和主动外泄，例如将公司文档保存到外部设备。

• 位置：
  • RecentDocs: NTUSER.DAT\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RecentDocs
  • OpenSaveMRU: NTUSER.DAT\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ComDlg32\\OpenSavePidlMRU
• 取证意义：
  • RecentDocs：跟踪用户最近访问的大约150个文件，按文件扩展名分组（例如 .jpg, .docx, .pdf）。MRUListEx 值跟踪访问顺序，允许调查人员重建文件打开的顺序。
  • OpenSavePidlMRU：此项专门跟踪通过 Windows 通用“打开”或“另存为”对话框交互过的文件。
    • 意图：这是一个高意图痕迹。它意味着用户主动导航到一个文件并选择打开或保存它。常用于证明用户手动将文件保存到外部设备（例如“另存为” -> F:）。
    • PIDL结构：数据存储为 PIDL（项目 ID 列表指针），这是一种包含文件名和完整路径的二进制结构。

TypedPaths：有意导航的证据

TypedPaths 区分了随意浏览和有意浏览。当用户点击链接时，他们是在遵循预设的路径。当他们手动在地址栏中输入路径时，他们既展示了意图，也展示了对目的地的特定知识。此痕迹在内部威胁案件中至关重要，因为它常常揭示嫌疑人对本不应访问的隐藏网络共享或内部IP地址的了解。

• 位置： NTUSER.DAT\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\TypedPaths
• 取证意义： 此注册表项存储手动输入（或粘贴）到 Windows 资源管理器地址栏中的路径历史。
• 调查意义： 输入路径需要特定的知识和意图。如果用户导航到 \\\\192.168.1.50\\C$\\Hidden，这表明他们知道服务器 IP 和隐藏共享名称。这通常用于区分“意外”浏览（点击链接）和“有意”的侦察或横向移动。

外部设备和 USB 连接的证据

在通过物理介质进行数据外泄或恶意软件引入的案件中，注册表提供了曾经连接到系统的每个USB设备的详细日志。当调查人员需要证明在嫌疑人身上发现的特定物理设备曾在特定时间连接到受感染机器时，这些痕迹至关重要。

USBSTOR：已连接 USB 存储设备的历史

USBSTOR 项是外部存储设备的主要历史清单。它允许调查人员枚举每一个曾作为大容量存储设备被连接过的 U 盘、外部硬盘或智能手机。此注册表项是将物理对象与端点上的数字活动关联起来的第一步。

• 位置： HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\USBSTOR
• 取证意义： 此项充当所有连接到机器的USB大容量存储设备的历史清单。
  • 子项结构：设备按设备类ID、供应商、产品和版本组织。
  • 序列号：子项名称通常代表设备的唯一序列号（例如 001122334455）。
  • 生成的ID：如果序列号在第二位包含“与”符号(&)（例如 100&234…），则表示该设备缺少唯一的硬件序列号，Windows根据端口和设备特性生成了一个临时ID。这是一个关键区别，因为生成的ID对设备不是唯一的，无法明确地关联到在嫌疑人处发现的特定物理U盘。

时间戳和连接历史

仅仅知道设备已连接通常是不够的；调查人员需要知道连接的时间和持续时间。Windows 10 和 11 在特定的属性键中存储设备安装、到达和移除的精确时间戳。这些时间戳有助于重建时间线，例如，证明备份驱动器在大量文件删除事件发生前立即连接过。

• 位置： HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Enum\\USB\\VID_…\\PID_…\\Properties\\{83da6326-97a6-4088-9453-a1923f573b29}
• 取证意义： 对于每个连接的设备，Windows 10 和 11 在特定属性 GUID 命名的子项中存储详细的时间戳。在 GUID 项 {83da6326-97a6-4088-9453-a1923f573b29} 内，有以十六进制标识符命名的子项，对应于特定时间戳事件：
  • 0064 (十进制 100) – InstallDate：设备首次安装的时间戳（通常用作该设备实例的“首次连接”代理）。
  • 0065 (十进制 101) – FirstInstallDate：技术上的“首次安装日期”。对于 USB 存储，这几乎总是与 0064 相同。
  • 0066 (十进制 102) – LastArrivalDate：最近一次连接（插入）的时间戳。
  • 0067 (十进制 103) – LastRemovalDate：最近一次断开连接（移除）的时间戳。
• 策略分析：通过比较 LastArrivalDate (0066) 和 LastRemovalDate (0067)，调查人员可以确定上次会话的持续时间。如果 LastArrivalDate 晚于 LastRemovalDate，则表示设备当前已连接（或系统在设备连接时崩溃/断电）。

MountedDevices：将硬件映射到盘符

为了完全重建用户活动，调查人员必须弥合硬件标识符（如USB序列号）与逻辑盘符（如 F:）之间的差距，后者在 ShellBags 或 LNK 文件等其他痕迹中被引用。MountedDevices 项有助于建立此连接，使得能够将特定盘符上的文件系统活动与其背后的物理设备关联起来。

注意：MountedDevices 仅维护每个盘符的最后一次映射信息。例如，如果用户连接了一个 SanDisk Cruzer（映射为 F:），然后又连接了一个也被映射为 F: 的金士顿 Data Traveler，则只保留最后一次映射。

• 位置： HKEY_LOCAL_MACHINE\\SYSTEM\\MountedDevices
• 取证意义： 此项可以帮助建立将物理设备/卷链接到逻辑盘符（例如 F:）的映射关系。 机制： 此项包含像 \\DosDevices\\F: 这样的值。这些值内部的二进制数据可以与特定卷和设备实例相关联，但格式各异；建议与其他痕迹相互印证。
• 调查工作流程： 1.在 USBSTOR 中识别出一个可疑的USB设备（例如“SanDisk Cruzer”）。2.提取其识别属性（例如序列号/设备实例详情）。3.将 MountedDevices 中的盘符映射与其他痕迹（ShellBags/LNKs）和设备安装证据关联起来。
• 结论：“SanDisk Cruzer 至少在一次连接中可能与盘符F:相关联。” 这允许调查人员专门搜索 F: 驱动器上的 LNK 文件和 ShellBags 活动。

网络和系统配置证据

重建网络环境和系统状态对于识别横向移动以及将设备归因于特定位置至关重要。通过分析网络配置文件，调查人员可以绘制设备的物理移动轨迹——例如笔记本电脑在公司 Wi-Fi 和公共 Wi-Fi 网络之间移动——并识别可疑的网络配置，这些配置可能表明攻击者正在手动操纵连接以绕过安全控制。

网络配置文件（“何地”与“何时”）

网络配置文件提供了设备连接过的每个网络的历史记录，有效地维护了其位置列表。此痕迹对于证明嫌疑人在特定时间身处特定地点（例如咖啡店或竞争对手的办公室）非常宝贵。通过将网络名称 (SSID) 与 DateLastConnected 时间戳关联起来，调查人员可以重建设备的物理行程，并识别对恶意或不安全网络的未授权连接。

• 位置：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\NetworkList\\Profiles
• 取证意义： 此项为系统连接过的每个网络（Wi-Fi、以太网）存储一个配置文件。
  • ProfileName：SSID（例如 “Starbucks_WiFi”, “Corp_Secure”）。
  • DateCreated：首次连接到此网络的时间戳。
  • DateLastConnected：最后一次连接的时间戳。
  • 地理定位：通过将 SSID 与 Wi-Fi 接入点的 BSSID（MAC地址）关联起来（当从伴随的无线痕迹中，以及某些情况下从注册表签名数据中可获得时），调查人员可以利用公共地理定位数据库（如Wigle）来物理定位计算机在特定时间所处的位置。

网络接口和 TCP/IP

网络配置文件显示设备在何处连接，而 TCP/IP 配置则揭示其如何连接。检查这些项允许调查人员确定机器是使用标准动态IP地址 (DHCP)，还是手动配置了静态 IP。用户工作站突然切换到静态 IP，可能是一个强有力的指标，表明攻击者试图与服务器流量混在一起以逃避检测、绕过网络访问控制或建立与命令与控制服务器的持久连接。

• 位置：HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services\\Tcpip\\Parameters\\Interfaces
• 取证意义： 此项包含网络适配器的配置。
  • 静态IP vs. DHCP：调查 EnableDHCP 值可以揭示机器是否配置了静态 IP 地址。静态 IP 在企业服务器环境中很常见，但在用户工作站或家庭网络中则可疑，可能表明攻击者正在手动配置网络以逃避检测或连接到恶意设备。

时区信息

时间是每个取证调查的支柱。TimeZoneInformation 项是系统上每个时间戳的重要参考点。误解此值可能导致时间线重建出现严重错误，使调查人员将数字事件（如文件下载）与错误的物理事件（如嫌疑人进入建筑物）对齐，可能导致整个案件无效。

• 位置：HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\TimeZoneInformation
• 取证意义：
  • ActiveTimeBias：以分钟为单位存储当前与 UTC 的偏移量。
  • 重要性：确定正确的时区是任何取证时间线分析的第一步。如果调查人员假设系统时区是UTC，而实际上是 UTC-5，那么整个用户活动时间线将偏移5小时，可能使不在场证明或与物理安全日志的关联失效。

Windows 11 特定痕迹和近期更新

Windows 11，特别是 23H2 和 24H2 版本，引入了新功能并改变了现有痕迹的行为。这些更新，由 AI 和现代应用架构的集成驱动，为调查人员恢复以前易失或加密的数据创造了新的机会。理解这些特定痕迹对于分析最新一代的“Copilot+” PC至关重要，并确保现代终端的证据不被遗漏。

“Recall”和 AI 快照

Windows 11 中可选的“Recall”功能的引入标志着取证可见性的范式转变。通过频繁拍摄用户桌面的快照以实现语义搜索，操作系统有效地创建了用户活动的视觉日志。对于调查人员来说，这类似于有一个监控摄像头对准嫌疑人的屏幕，捕获瞬时数据——例如短暂的聊天消息、显示的密码或仅在线文档——这些数据通常永远不会触及磁盘。

• 背景：在 2024 年中期为配备 NPU 的 “Copilot+” PC 引入，Recall 会频繁截取用户桌面的屏幕截图以实现语义搜索。

重要提示：在撰写本文时，Recall 是一项可选功能，需要用户手动明确激活。此外，Recall 目前仅支持满足特定要求的 PC：“符合安全核心标准的 Copilot+ PC；40 TOPS NPU（神经处理单元）”。它可能在较旧的 PC 上不可用。由于 Recall 具有法律/隐私敏感性，微软的快速政策变化可能会影响未来可能的加密或保留。此外，托管/商业默认设置有所不同（微软指出 Recall 在托管商业设备上默认禁用）。

• 取证痕迹：
  • 注册表控制：该功能的状态在 Software\\Policies\\Microsoft\\Windows\\WindowsAI 中管理。
  • 数据库：语义索引存储在位于 %AppData%\\Local\\CoreAIPlatform.00\\UKP\\{GUID}\\ukg.db 的 SQLite 数据库中。
  • 图像存储：原始 JPEG 屏幕截图存储在 %AppData%\\Local\\CoreAIPlatform.00\\UKP\\{GUID}\\ImageStore 中。
• 调查价值：如果启用，Recall 充当用户活动的全面“DVR”。它可以捕获屏幕上显示的敏感数据（密码、加密的聊天消息），这些数据通常不会保存到磁盘。ukg.db 数据库包含从这些屏幕截图中衍生的 OCR（光学字符识别）文本，允许调查人员搜索用户视觉历史中的关键词（例如“炸弹”、“被盗”、“密码”）。访问和保留可能受到 Windows 安全控制和配置的约束。

现代记事本 (TabState)

记事本应用程序的现代化无意中创建了一个有用的取证痕迹。因为新的记事本会自动保存打开标签页的状态以防止数据丢失，它将“未保存”文档的内容保留在磁盘上。这允许调查人员恢复嫌疑人可能在临时便签中输入但从未正式保存到文件中的笔记、代码片段或地址，挑战了传统上认为未保存数据仅存在于RAM中的假设。

• 位置：%LOCALAPPDATA%\\Packages\\Microsoft.WindowsNotepad_8wekyb3d8bbwe\\LocalState\\TabState （相关的状态元数据也可能存在于 %LOCALAPPDATA%\\Packages\\Microsoft.WindowsNotepad_8wekyb3d8bbwe\\LocalState\\WindowsState 中。）
• 取证意义： 现代 Windows 11 记事本应用程序会自动保存状态，允许用户关闭应用而不会丢失未保存的标签页。
  • 未保存内容恢复：TabState 目录中的二进制文件(.bin)包含未保存标签页的实际文本内容。这对取证来说是一个关键发现：用户经常使用记事本作为临时便签本，复制凭据、代码片段或非法数据。以前，如果文件未保存，数据就会丢失（仅RAM）。现在，它持久地存在于这些二进制文件中。

Triage 分类策略：可忽略的痕迹（降噪）

在数字取证中，时间往往是最稀缺的资源。调查人员很容易被注册表中海量的数据淹没，追逐那些看似有希望但无法产生可操作情报的痕迹。为了保持效率，知道忽略什么至关重要。本节重点介绍在现代 Windows 10 和 11 调查中“嘈杂”或冗余的痕迹，它们虽然技术上有效，但投资回报率低。

冗余的应用程序 MRU

旧版取证指南通常优先考虑手动提取单个应用程序（如 Adobe Reader 或 Microsoft Word）的“最近使用的列表”(MRU)。虽然这种方法在旧版 Windows 中是必要的，但现代操作系统已经集中化了这些记录。如今，花费数小时解析单个应用程序配置单元往往是重复劳动，因为操作系统本身现在已在别处更可靠地汇总了这些数据。

• 旧版建议：手动检查每个已安装应用程序的 MRU 项（例如 Software\\Adobe\\Acrobat\\Recent）。
• 现代现实：在 Windows 10/11 中，这效率低下。集中式的 RecentDocs 和 JumpLists（文件系统）提供了跨所有应用程序的最近文件访问的综合视图。仅当调查特别关注该特定应用程序时（例如“用户是否专门在Acrobat中打开了此PDF？”），才应检查特定应用程序的MRU。

性能计数器 (Perflib)

注册表中存储的大量性能数据并不意味着“更多数据等于更多证据”。这些项是为实时系统监控而设计的，而非历史重建。它们产生大量更改，使时间线分析变得混乱，却无法提供对用户行为、文件访问或恶意意图的任何特别洞察。

• 位置：HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\Perflib
• 分析： 这些项包含动态性能统计数据。它们不断更新，但几乎不提供对用户行为、文件访问或恶意活动的洞察。

通用 CLSID 项

HKEY_CLASSES_ROOT 配置单元非常庞大，包含数百万个定义文件关联和 COM 对象的 GUID。虽然恶意软件在技术上可以隐藏在这里，但手动浏览此配置单元无异于在一个全是针的草堆里找一根针。除非有特定的入侵指标(IOC)指向被劫持的 COM 对象，否则应降低此区域的优先级，转而关注更高保真度的持久化位置。

• 背景：HKEY_CLASSES_ROOT 配置单元主要是文件关联的派生视图。
• 策略建议：除非正在调查被称为“COM 劫持”的特定持久化技术（其中 CLSID 被修改为指向恶意软件），否则手动浏览此配置单元中的数百万个 GUID 是浪费调查资源。

Elcomsoft Quick Triage 在线系统分析，规避取证与安全之间的冲突

当从理论过渡到在线系统时，注册表取证面临严峻的现实。虽然端点防护旨在锁定系统以防止未授权访问，但取证工具需要不受限制的访问权限才能安全地获取证据——包括被锁定的系统文件。这种冲突会立即产生操作风险。具有激进启发式算法的现代防病毒引擎常常将合法的取证二进制文件标记为恶意软件，可能终止获取过程或将工具本身隔离。即使没有阻止，主动的背景扫描也会引入显著的I/O延迟，并威胁证据完整性，这是一个我们在《Elcomsoft 应急取证响应工具: 实时系统分析, 如何规避杀毒工具干扰》中探讨过的挑战。

Elcomsoft Quick Triage 旨在应对这些特定限制。它允许调查人员从在线终端获取和解析关键的注册表配置单元和易失状态数据（如 AmCache 和 ShimCache），同时最大限度地降低触发启发式阻止或更改证据时间戳的风险。通过自动化收集高价值痕迹，调查人员可以在投入耗时完整的磁盘镜像过程之前，快速验证假设并识别受损系统。

当在线获取风险过高时，另一种策略是启动到干净的取证环境。如《Elcomsoft 系统取证工具: 选择正确策略, 冷启动取证 vs 实时系统分析》中详述的，这种方法完全绕过主动防御，允许不受限制地访问否则会被操作系统锁定的注册表配置单元和文件。

结论

Windows 10 和 11 中 Windows 注册表的取证分析需要一种有纪律的、分层的方法。通过优先提供高保真执行证据（UserAssist、AmCache）、意图证据（TypedPaths、ShellBags）和数据移动证据（USBSTOR、MountedDevices）的痕迹，调查人员可以构建一个可辩护的事件叙述。

向 Windows 11 的转变带来了新的挑战——特别是 AI 驱动的 “Recall” 功能和记事本中“未保存”数据的持久化——但也为证据恢复提供了新的机会。注册表仍然是 Windows 操作系统中痕迹的主要来源；虽然文件系统的内容在变化，但注册表继续以惊人的精度记录用户的行为。成功的调查不取决于找到每一个项，而在于理解正确项的内部机制和意义。