Windows注冊表Hive文件恢復(fù)

1、Windows注冊表Hive文件恢復(fù)inds注冊表Hive文件恢復(fù)1.引言論文聯(lián)盟.Ll.2.Hive文件介紹indsXP的注冊表邏輯上是以樹形構(gòu)造組織。它由兩個注冊表子目錄樹組成：HKEY_LAL_AHINEHKL和HKEY_USERSHKU。其實(shí)，在物理上注冊表信息存儲在多個獨(dú)立的二進(jìn)制文件中，這些文件被稱為Hive。表1.1介紹注冊表途徑對應(yīng)的Hive文件及其相關(guān)文件。1999年，Russinvih首先描繪inds注冊表Hive文件的的內(nèi)部構(gòu)造，并且說明各個組成局部的互相關(guān)系。詳細(xì)內(nèi)部構(gòu)造如圖1.1所示。注冊表Hive文件包含頭部塊Baseblk和HBINHiveBin。頭部塊和HBIN

2、的大小都是4096字節(jié)的整數(shù)倍。注冊表的第一個塊被稱為頭部塊，在頭部塊后面是Hive文件所有HBIN塊，每個HBIN包含一個HBIN頭部和多個ell。頭部塊包含Hive文件的一些重要信息，如魔幻數(shù)regf、該Hive文件的名稱、存儲途徑、修改日期和到根項(xiàng)的偏移量。HBIN頭部包含魔幻數(shù)hbin、到第一個HBIN塊的間隔 和該HBIN塊的大小等信息。圖1.1Hive文件內(nèi)部構(gòu)造2.1分析因?yàn)閕nds系統(tǒng)中含有其它內(nèi)部構(gòu)造和Hive文件相似的文件，如：Hive文件的相關(guān)lg文件和sav文件等，所以在對Hive文件恢復(fù)前，必要先對這些文件進(jìn)展分析，研究它們之間的異同點(diǎn)。在indsXPSP2系統(tǒng)中，通

3、過注冊表途徑HKLSYSTEurrentntrlSetntrlHivelist，可以找到全部的注冊表Hive文件和相關(guān)的途徑。其中HARDAR存儲系統(tǒng)啟動的時候檢查到的硬件信息，本文不對該文件進(jìn)展恢復(fù)。SA全稱是平安賬戶管理，用來保存用戶及用戶組信息。SEURITY記錄系統(tǒng)的平安信息。SFTARE存儲每個應(yīng)用程序的設(shè)置。SYSTE記錄磁盤驅(qū)動和效勞配置。.DEFAULT記錄關(guān)于用戶的缺省設(shè)置。每一個用戶都有NTUSER.DAT和Usrlass.dat，分別記錄與用戶的配置相關(guān)的信息和用戶的文件類型關(guān)聯(lián)信息。除了Hivelist中包含的Hive文件之外，系統(tǒng)在其它地方也存儲著和注冊表相關(guān)的數(shù)據(jù)。

4、lg文件是Hive文件的修改事件日志文件。sav文件indsXP安裝過程中創(chuàng)立的Hive文件的備份文件。userdiff的作用是把用戶的特征從前一個版本indsNT更新到indsNT4.0。REGLS.LD是inds系統(tǒng)運(yùn)行過程中產(chǎn)生的垃圾文件。hiberfil.sys是系統(tǒng)休眠文件。pagefile.sys是頁面交換文件。repair文件夾下面的這些文件default，ntuser.dat，sa，seurity，sftare和syste都是inds系統(tǒng)第一次安裝成功時生成的。剩余空間也包含Hive文件主要是由于刪除操作系統(tǒng)或者系統(tǒng)用戶遺留的。如何從眾多的干擾數(shù)據(jù)中把真正的Hive文件恢復(fù)出來

5、。如今對這些非Hive文件的內(nèi)部格式進(jìn)展分析如下：lg文件在偏移量0X200處有標(biāo)識符為444952FF，而Hive文件在該偏移量處全都是0。sav文件雖然它有魔幻數(shù)regf，但是它沒有修改日期和文件名。userdiff文件可以通過文件名把userdiff文件和其它Hive文件區(qū)分開。REGLS.LD文件頭部沒有修改日期和文件名。同樣repair目錄下面的文件頭部只有魔幻數(shù)和校驗(yàn)值，沒有修改日期和文件名。剩余空間、pagefile.sys和hiberfil.sys中可能含有局部的注冊表頭部信息，而且修改日期不是最近的。每一個用戶，包括本地效勞用戶和網(wǎng)絡(luò)效勞用戶，都有文件NTUSER.DAT和U

6、srlass.dat。NTUSER.DAT和Usrlass.dat中的途徑名支持的長度是32個字母。因?yàn)镹TUSER.DAT文件存放在用戶文件夾下，因此它的途徑中包含用戶名，可以用于區(qū)分不同論文聯(lián)盟.Ll.的用戶的NTUSER.DAT。但是因?yàn)閁srlass.dat的途徑太長，系統(tǒng)省略了用戶文件名，因此每一個Usrlass.dat文件中途徑都是一樣的。Usrlass.dat文件的第一個項(xiàng)是和SID有關(guān)的。每個用戶都有對應(yīng)著一個唯一的SID。SID就是平安標(biāo)識符SeurityIdentifiers。例如：S-1-5-21-1390067357-1303643608-682022330-1003，

7、其中第一項(xiàng)S表示該字符串是SID；第二項(xiàng)1是SID的版本號；第三項(xiàng)5是SID的簽發(fā)者主代碼對于indsXP來說，這個值永遠(yuǎn)是5。在往后的四組數(shù)字是簽發(fā)者子代碼。最后是一個RIDRelativeIdentifier，相對標(biāo)識符，即例子中的1003。S-1-5-19表示本地效勞用戶；S-1-5-20表示網(wǎng)絡(luò)效勞用戶；S-1-5-21-域-500表示系統(tǒng)管理員用戶賬號；S-1-5-21-域-501表示來賓賬號；S-1-5-21-域-1001表示系統(tǒng)登錄用戶賬號的RID從1001開場。對于每個系統(tǒng)登錄用戶賬戶，NTUSER.DAT文件的$PRT.HIVSftareirsftPrtetedStrageS

8、ystePrvider含有一個以用戶的SID命名的子鍵。2.2恢復(fù)文件恢復(fù)主要從兩個層次進(jìn)展：文件系統(tǒng)級和應(yīng)用級。當(dāng)文件系統(tǒng)被犯罪分子破壞的時候，文件系統(tǒng)級恢復(fù)就無能為力。應(yīng)用級文件恢復(fù)可以在不依賴文件系統(tǒng)的情況下，利用文件的內(nèi)部特征，到達(dá)恢復(fù)文件的目的。以下都是針對應(yīng)用級的文件恢復(fù)技術(shù)。注冊表的Hive文件的頭部塊和HBIN塊的大小都是4KB的整數(shù)倍。當(dāng)文件系統(tǒng)中的簇大小為4KB時，注冊表Hive文件的頭部是不會被分片的。在現(xiàn)實(shí)中HBIN塊之間經(jīng)常發(fā)生分片。如圖1.2所示。即分片點(diǎn)發(fā)生在兩個HBIN塊的連接處。Hive文件分片有兩種情況：第一種是HBIN塊后面不是HBIN塊，但是這個HBIN

9、塊又有指針指向下一個HBIN塊，這說明該Hive文件在此HBIN塊后面發(fā)生了分片。第二種是HBIN塊的后面是一個HBIN塊，但是它們之間的到第一塊HBIN間隔 之差不等于上一塊HBIN塊的大校這說明Hive文件在此HBIN塊分片。圖1.2HBIN塊之間發(fā)生分片情況需要恢復(fù)的Hive文件名應(yīng)該是SA、SEURITY、SFTARE、SYSTE、HARDARE、.DEFAULT以及每一個用戶的NTUSER.DAT和Usrlass.dat。根據(jù)不同的文件名，依次搜索匹配。對于不同的用戶的NTUSER.DAT可以通過途徑中包含的用戶名來區(qū)分。對于不同的用戶的Usrlass.dat可以通過SID來區(qū)分。本

10、地效勞用戶為S-1-5-19；網(wǎng)絡(luò)效勞用戶為S-1-5-20；系統(tǒng)登錄用論文聯(lián)盟.Ll.戶賬號通過NTUSER.DAT文件的PrtetedStrageSystePrvider的SID命名的子鍵來獲取SID。當(dāng)Hive文件不發(fā)生分片的時候，即Hive文件是連續(xù)的順序存放在磁盤中。根據(jù)前面的分析，全部Hive文件可以被恢復(fù)出來。算法1的詳細(xì)步驟如下：1順序搜索整個磁盤，找到前四個字節(jié)是regf開場的簇，并且該簇偏移量0X200處是標(biāo)識符00000000，讀取頭部的文件名和修改日期。假如文件名一樣的Hive文件有兩個以上的，通過修改日期選擇最近被修改的。2判斷Hive文件是否分片。假如不分片，Hiv

11、e文件的全部hbin塊都是在頭部塊后面，所以在找到正確的文件頭部后，根據(jù)每個HBIN塊的大小，找出Hive文件的全部HBIN。3根據(jù)不同的文件名，重復(fù)操作步驟1和步驟2。當(dāng)Hive文件發(fā)生分片，并且分片位于兩個HBIN塊之間時。算法2詳細(xì)恢復(fù)步驟如下：1根據(jù)算法1的第一步，找到符合要求Hive文件頭部塊。2判斷Hive文件是否分片。假如Hive文件分片，找到分片點(diǎn)。通過前面的描繪，可以知道下一個HBIN塊到第一個HBIN塊的間隔 。該間隔 是分片點(diǎn)前的HBIN塊到第一個HBIN塊的間隔 加上該HBIN塊的大校搜索整個磁盤，找到前四個字節(jié)是hbin開場的全部的簇，并且在該簇偏移量0X04處是該H

12、BIN塊到第一個HBIN塊的間隔 。把符合條件的分片都找到，并把它們組合在一起，生成Hive文件。3根據(jù)不同的文件名，重復(fù)操作步驟1和步驟2。3.實(shí)驗(yàn)和結(jié)果利用本文提出的算法對該數(shù)據(jù)集進(jìn)展恢復(fù)，同時比照inHex的恢復(fù)結(jié)果。inHex沒有提供對Hive文件的恢復(fù)，必須手動的添加Hive文件的特征，如：魔幻數(shù)regf和文件大校假設(shè)最大的Hive文件可以到達(dá)1，這樣可以包含大局部的Hive文件。分別用這兩個工具進(jìn)展實(shí)驗(yàn)。結(jié)果說明這兩個工具都可以能恢復(fù)Hive文件，但是效果有顯著的差異。首先統(tǒng)計(jì)全部被恢復(fù)Hive文件的個數(shù)，文件大小，HBIN塊、項(xiàng)和值的個數(shù)，如表4.12所示。通過表4.12可以看到

13、，本系統(tǒng)可以把全部需要的Hive文件恢復(fù)出來，并且Hive文件的項(xiàng)和值等數(shù)據(jù)沒有喪失。本系統(tǒng)恢復(fù)的文件總大小要小于原有文件的大校因?yàn)楸鞠到y(tǒng)是根據(jù)Hive文件頭部信息來確定文件大小的，操作系統(tǒng)分配給Hive文件的大小有時候比Hive文件頭部塊中的標(biāo)注的文件大小要大，尾部多余的數(shù)據(jù)沒有任何意義。然而，inHex恢復(fù)的文件數(shù)量超過原始文件，原因是系統(tǒng)中含有和Hive文件相似的文件，它把這些文件恢復(fù)出來了。而且inHex只能獲取固定大小的文件，產(chǎn)生的多余數(shù)據(jù)，有些不屬于Hive文件，有些屬于其他Hive文件。最重要的是當(dāng)Hive文件發(fā)生分片時，inHex不能成功找到分片。因此可以證明，我們提出論文聯(lián)盟.Ll.的Hive文件恢復(fù)算法是準(zhǔn)確且有效的，可以解決實(shí)際遇到的問題。其次，統(tǒng)計(jì)分片Hive文件的恢復(fù)情況，其中inHex實(shí)際值表示inHex恢復(fù)的數(shù)據(jù)中真正屬于該Hive文件的值。如表4.13所示。通過表4.13可以知道，本系統(tǒng)可以把DEFAULT中分片找到，并正確的和其它分片拼接一起。對該文件的恢復(fù)