一�����、注冊表取證概念
1����、注冊表是Windows系統存儲關于計算機配置信息的中央數據庫���,是系統的核心����。注冊表中的數據是以二進制的形式存儲的,這個數據庫存放有計算機硬件和軟件的配置信息�、應用軟件和文檔文件的關聯關系以及各種網絡狀態信息和其他數據
2����、注冊表取證時應著重檢查一下項目:硬件配置信息(主板型號��、BIOS版本�、系統時間等)�、系統配置信息(機器名、安裝時間����、關機時間���、安裝版本�����、用戶列表���、網絡信息等)��、使用者信息(用戶名�、密碼����、上網記錄、MRU、外置設備等)
二、關鍵鍵值
2.1 依次點擊“開始”->“運行”�,輸入“regedit”打開“注冊表編輯器”�,依次展開“HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\BIOS”�,此處是系統的硬件配置信息,包括主板信息、BIOS釋放時間��、BIOS型號等��。如圖所示
2.2 查看完整的計算機名��,依次展開
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ComputerName\ComputerName”。如圖所示
2.3 查看安裝信息,包括注冊組織--RegisteredOrganization��,注冊人--RegisteredOwner��,產品名稱--ProductName���,安裝路徑--SystemRoot����,版本名稱--CurrentVersion,版本號--CurrentBuildNumber,Service Pack版本號--CSDVersion�����,操作系統安裝時間--InstallDate(C/UNIX文件時間格式)�����。
依次展開“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion”。如圖所示
1.4 掛載設備列表MountedDevices保存著曾經掛載過的有各自固定卷名和內部標識符的各種設備的列表,這個鍵也詳細列出了所有曾經被分配過盤符的USB閃存盤和外置的DVD/CDROM設備�����。在其中�,以“\DosDevices\”開始,以盤符字母結尾的值包含著被掛載過的特殊設備的信息。如果“\DosDevices\F”的開始位里有“\?? \Storage#RemoveibleMedia”表示有一個USB盤插入過計算機的USB端口�����。依次展開注冊表“HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices”�����。如圖所示
1.5 掛載設備列表Volume中按各自的設備GUID(全局唯一標識符)分別在子鍵中保存著信息��。其中的data鍵值信息更為詳盡,包括卷標�、分區格式等�。依次展開注冊表“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume”���,查看某一設備的data鍵值�����。如圖所示
1.6 USB設備掛載信息�,(HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB)保存著USB存儲設備的更多信息�。
1.7 MRU(Most-Recently-Used)數量眾多,包括Office應用都有MRU�,如(HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU)����,這個鍵保存著Windows的公用對話框歷史記錄(實驗環境沒有掛載設備所以沒有注冊表)���。如圖所示
思考
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU”這里的MRU的含義�����?
三、回收站取證
1����、 被刪除的信息往往包含著使用者的重要信息�,對于被刪除文件的恢復�,一直是電子數據取證的重要部分。在Windows操作系統中����,用戶選擇刪除一個文件后����,文件沒有真正的刪除�,而是進入了回收站。通過分析回收站可以知道被刪除文件的信息����,包括原始路徑��、刪除時間和文件大小,可以利用它隨時恢復文件
2�、回收站目錄中�����,每個刪除文件都會設立一個回收站記錄文件�,在本實驗中��,回收站位置為“C:$Recycle.Bin\<USER SID>”�。在NTFS文件系統中�,回收站以SID(安全標識符)來區別不同用戶的回收站信息
四�����、確定用戶是否啟用回收站
右擊回收站圖標��,在快捷菜單中選擇“屬性”,在“選定位置的設置”中���,如果選中了“不將文件移到回收站中。移除文件后立即將其刪除”則意味著刪除文件不會保存在回收站中�����,若刪除文件時使用“shift+delete”組合鍵同樣不會保存刪除文件到回收站中�。如圖所示
五、回收站文件分析
5.1 Windows Server 2008操作系統會為每個被刪除文件建立一個刪除記錄���,通過分析每個刪除記錄,可以了解文件的原始信息����。刪除文件信息的保存位置為“C:$Recycle.Bin\<USER SID>”��。查看當前用戶SID。如圖所示
5.2 進入回收站目錄并查看內容。如圖所示
5.3 當一個文件被刪除時�,原始的刪除文件被以“$R”作為開頭重命名�,后面跟著隨機生成的字符或數字組合�����,后綴名與原文件一致�。與此同時����,生成一個以“$I”開頭的文件,后綴名及后面的字符或數字組合與“$R”開頭的文件相同��。以“$I”開頭的文件為對應“$R”開頭的文件的回收站記錄文件��,當回收站被清空時,兩個文件會被同時刪除。
5.4 “$I”開頭的回收站記錄文件主要包含以下刪除記錄信息:被刪除文件原始路徑��、被刪除文件大小�、被刪除文件的刪除時間(64位Windows時間)。這些信息都是以Unicode編碼存儲,每個回收站文件的大小都是544字節。
5.5 輸入命令“WinHex $I9N8010.exe”(若沒有$I9N8010.exe 文件 可以在2.3步驟查看的結果中選一文件查看),用WinHex打開一個以“$I”開頭的記錄文件查看其內部結構�����。如圖所示
5.6 回收站記錄文件的文件結構為:8字節的文件頭����,偏移量為0x00;8字節的被刪除文件大小���,偏移量為0x08~0xF;8字節的文件刪除時間(64位Windows時間)����,偏移量為0x10~0x17�����;0~520字節的被刪除的文件名(全路徑),偏移量為0x18~0x21F����。在上步打開的記錄文件中可以看得出被刪除的文件名�。如圖所示
思考:如何通過注冊表禁用回收站���?
一��、電阻器介紹
電阻器(英文是:resistor,電阻的英文是resistance)在電路中的作用�,主要是用來限制電流和電壓的大小��,在電路圖中常用大寫字母“R"表示,單位是歐姆�,用希臘字母“Ω”表示��,讀作(Omega)����。常用的單位有Ω�����、KΩ��、MΩ,還有不常用的單位吉歐姆(GΩ)�����、太歐姆(TΩ)�����、毫歐姆(mΩ)�、微歐姆(uΩ)���。在一般的電子科技公司只用到Ω���、KΩ����、MΩ,其實GΩ、TΩ��、mΩ�����、uΩ非常少見,只是在生產高精度的電子儀器以及高精度測量設備的廠家有時用到mΩ及uΩ級,有些開關電源上用到康銅絲�����,電阻值在mΩ級���。
電阻單位的換算關系是:1T=1000GΩ 1GΩ=1000MΩ 1MΩ=1000KΩ
1KΩ=1000Ω 1Ω=1000mΩ 1mΩ=1000uΩ
1�����、電阻器的分類:
(1)電阻器的種類較多���,可分為固定電阻器和可調電阻器�����。
(2)固定電阻器分為線繞電阻器和非線繞電阻器。
(3)線繞電阻器又分為通用線繞電阻器��、精密線繞電阻器���、大功率線繞電阻器��、高頻線繞電阻器����。
(4)非線繞電阻器又分實心電阻器�、膜式電阻器、金屬玻璃釉電阻器�����。
(5)實心電阻器分為無機合成實心電阻器���、有機合成實心電阻器���。
(6)膜式電阻器又分:合成碳膜電阻器��、熱分解碳膜電阻器���、金屬膜電阻器��、金屬氧化膜電阻器、化學沉積膜電阻器、塊金屬膜電阻器���。
(7)可變電阻器又分滑線電阻器和可調電阻器及半可調電阻器。
以上很多種電阻器����,其實在實際使用中�,較為廣泛是金屬膜電阻器����、碳膜電阻器、可調電阻器�、半可調電阻器�����、排阻器、敏感電阻器����、電位器���、水泥電阻器、貼片電阻器�。在電子時代的今天�,所有電器及設備越來越小型化�,主要使用SMT技術的SMD(Surface Mounted Devices)電阻器較多,即表面貼裝電阻器����。這個在后面的章節再專講�����。這里主要講的是PTH(Plating Through Hole)電阻器,中文意思是通孔直插式電阻器���。
2、電阻器的結構
電阻器一般由骨架(陶瓷基體)、電阻體(電阻絲或者電阻膜)�����、引線帽�、引出線、和保護膜等部分構成。
3、電阻器的命名
(1)第一部分為主稱�����,電阻器用R表示�����。
(2)第二部分為材料�����,用字母表示。相關材料表示如下:
T---碳膜 H---合成膜 S---有機實心 N---無機實心 J---金屬膜 Y---氧化膜 C---沉積膜
I---玻璃釉膜 X---線繞
(3)第三部分為分類和特點����,用數字或者字母表示,各個符號的含義如下:
1---普通 2---普通 3--超高頻 4---高阻 5---高溫 6---精密 7---高壓 8---特殊
9---可調 10---高功率
(4)第四部分為序號���,用數字表示。
示例:RJ701
R---主稱:電阻器 J:材料金屬膜 7:分類��,為精密型 序號:01為外形尺寸�����。
這個電阻表示:精密金屬膜電阻器��。
4、電阻器的主要技術參數
(1)標稱阻值
電阻器的設計阻值通常標注在電阻器的表面����,通用電阻器即普通的電阻器取兩位有效數字�,第三位是倍乘數(即第二位數字后0的個數),第四位表示誤差��。精密電阻器一般標有三位有效數字�����,第四位為倍乘數�����,第五位為誤差。
(2)允許偏差
通用電阻器的誤差范圍:+/-5%����、+/-10%��、+/-20%.
精密阻器的誤差范圍:+/-2%、+/-1%����、+/-0.5%、+/-0.2%�����、+/-0.1%��、+/-0.05%��、+/-0.01%、
+/-0.005%�����、+/-0.002%��、+/-0.001%等多個檔次��。
(3)額定功率
單位為瓦,用"W"表示����。主要有1/16W����、1/8W��、1/4W���、1/2W�、1W���、2W����、5W�����、10W�����。線繞電阻最大功率有500W。
還有電阻器的噪音、頻率特性�、工作電壓����、穩定度�����、可靠性等參數在這里不在講述了��。那么在下一講���,主要講四色環和五色環電阻器的識別���。請小伙伴們多多關注����,轉發����,收藏。在此謝謝大家了。
