windows共享(SMB)连接在注册表中的痕迹

现已知,注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 中保存了”运行”框中历史的运行命令,测试目的在删除上述注册表内容后,是否可以在其他注册表项中追溯到历史连接的共享

测试条件

使用 WIN10\WIN SER 2K8 虚拟机进行测试

使用regshot对下述条件中的注册表变化键值进行比对:

  1. 未连接共享时的注册表快照(1.hive)
  2. 连接共享(3个)后的注册表快照(2.hive)

上述连接的共享IP为:

192.168.169.116 未开启共享,连接失败
192.168.169.254 仅连接,不登陆
192.168.169.107 连接并登录

对比方式及结论

WIN10

使用上述条件中生成的文件,对比,发现有以下两个注册表项中存在31,39,32,2e,31,36,38,2e,31,36,39,2e,31,30,37(及16进制的192.168.169.107),其余两个IP地址均未在对比结果中发现.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU\0\0]

[HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\2\0]

实际查看发现,在以下注册表项中也存有192.168.169.107

HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\BagMRU\0

HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\2

Windows Server 2008

在下面注册表中发现存在31,00,39,00,32,00,2e,00,31,00,36,00,38,00,2e,00,31,00,36,00,39,00,2e,00,31,00,30,00,37

[HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\BagMRU\3]

 

除192.168.169.107外,其余两个IP均未在比对信息中发现

原始比对文件

谷歌云盘(WIN10)

谷歌云盘(WIN2K8)

 

 

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注