windows共享(SMB)连接在注册表中的痕迹

现已知,注册表项HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 中保存了”运行”框中历史的运行命令,测试目的在删除上述注册表内容后,是否可以在其他注册表项中追溯到历史连接的共享

测试条件

使用 WIN10\WIN SER 2K8 虚拟机进行测试

使用regshot对下述条件中的注册表变化键值进行比对:

1. 未连接共享时的注册表快照(1.hive)
2. 连接共享(3个)后的注册表快照(2.hive)

上述连接的共享IP为:

192.168.169.116

未开启共享,连接失败

192.168.169.254

仅连接,不登陆

192.168.169.107

连接并登录

对比方式及结论

WIN10

使用上述条件中生成的文件,对比,发现有以下两个注册表项中存在31,39,32,2e,31,36,38,2e,31,36,39,2e,31,30,37(及16进制的192.168.169.107),其余两个IP地址均未在对比结果中发现.

\[HKEY\_CURRENT\_USER\\Software\\Microsoft\\Windows\\Shell\\BagMRU\\0\\0\]

\[HKEY\_CURRENT\_USER\\Software\\Classes\\Local Settings\\Software\\Microsoft\\Windows\\Shell\\BagMRU\\2\\0\]

实际查看发现,在以下注册表项中也存有192.168.169.107

HKEY\_CURRENT\_USER\\Software\\Microsoft\\Windows\\Shell\\BagMRU\\0

HKEY\_CURRENT\_USER\\Software\\Classes\\Local Settings\\Software\\Microsoft\\Windows\\Shell\\BagMRU\\2

Windows Server 2008

在下面注册表中发现存在31,00,39,00,32,00,2e,00,31,00,36,00,38,00,2e,00,31,00,36,00,39,00,2e,00,31,00,30,00,37

\[HKEY\_CURRENT\_USER\\Software\\Classes\\Local Settings\\Software\\Microsoft\\Windows\\Shell\\BagMRU\\3\]

除192.168.169.107外,其余两个IP均未在比对信息中发现

原始比对文件

谷歌云盘(WIN10)

谷歌云盘(WIN2K8)