Windows 10密碼的格式通常遵循以下幾點:
長度要求:
復雜性要求:
避免使用常見信息:
避免連續字元:
示例密碼:
總結:
Ⅱ win10用戶名密碼
1. useradmin賬戶的默認密碼是admin。
2. 大多數路由器設定初始用戶名為useradmin或admin,密碼同樣為admin。
3. 若在輸入密碼後無任何響應,可能密碼已被更改。
4. 此時,長按路由器的reset按鈕五秒鍾以上,可以將設備恢復至出廠設置。
5. 完成上述操作後,用戶名和密碼將重置為默認的useradmin/admin。
演示機型:華為MateBook X && 華碩RT-AX56U
系統版本:win10
Ⅲ win10開機密碼格式
win10開機密碼格式(win10開機密碼格式要求)一、概述注冊表(英語:Registry)是Microsoft Windows操作系統和其應用程序中的一個重要的層次型資料庫,用於存儲系統和應用程序的配置信息。
早在Windows 3.0推出OLE技術的時候,注冊表就已經出現。但是,從Windows 95開始,注冊表才真正成為Windows用戶經常接觸的內容,並在其後的操作系統中繼續沿用至今。隨後推出的Windows NT是第一個從系統級別廣泛使用注冊表的操作系統。(via 維基網路)
二、注冊表的組成結構注冊表由鍵(key,或稱「項」)、子鍵(subkey,子項)和值項(value)構成的hive文件組成,關於Windows注冊表hive格式的詳情說明可以參考這篇文章:regf/Windows registry file format 電腦specification.md at master · msuhanov/regf · GitHub
注冊表的結構是一個樹狀結構,一個鍵(key,或稱「項」)就是一個節點,子鍵(subkey)就是這個節點的子節點,子健也是鍵。鍵的一條屬性被稱為一個value(值項),value由名稱、類型、數據類型和數據組成。一個鍵可以有多個值,每個值的名稱不同,如果值名稱是空,則該值為該鍵的默認值。
可以打開注冊表編輯器查看其結構組成:
注冊表的主鍵,也就是主分支有五個,分別是:
HKEY_CLASSES_ROOT:包含啟動應用程序所需的全部信息,包括擴展名,應用程序與文檔之間的關系,驅動程序名,DDE和OLE信息,類ID編號和應用程序與文檔的圖標等。HKEY_CURRENT_USER:包含當前用戶的配置信息,比如環境變數,桌面設置等HKEY_LOCAL_MACHINE:包括安裝在計算機上的硬體和軟體的信息HKEY_USERS:包含計算機的所有用戶配置信息HKEY_CURRENT_CONFIG:當前硬體的配置信息。注冊表數據類型主要有以下幾種:
REG_SZ:字元串類型,文本字元串REG_BINARY:二進制類型,不定長度的二進制值,以16進制形式顯示REG_DWORD:雙字,32 位的二進制值,顯示為 8 位的十六進制值REG_MULTI_SZ:多字元串,有多個文本值的字元串,字元串間用 nul 分隔、結尾兩個 nulREG_EXPAND_SZ:可擴展字元串,包含環境變數的字元串注冊表中時間格式有以下幾種:
FILETIME:64位值,代表間隔多少個單位為100納秒的時間(從UTC1601年1月1日開始)
Unix Time:32位值,代表間隔多少秒(從UTC1970年1月1日開始)。
DOS Date/Time:兩個16位值,詳細記錄了當地時間和年月日。
三、注冊表的存儲注冊表在Windows NT操作系統中被分為多個文件存儲,這些文件被稱為Registry Hives,每一個文件被稱為一個配置單元。
主要配置單元有:
SYSTEM:對應的注冊表分支為HKEY_LOCAL_MACHINESYSTEM,對應的存儲文件是WindowsSystem32configSYSTEM,其作用是存儲計算機硬體和系統的信息。NTUSER.DAT:對應的注冊表分支是HKEY_CURRENT_USER,存儲在用戶目錄下,與其他注冊表文件是分開的,主要用於存儲用戶的配置信息。SAM:分支是HKEY_LOCAL_MACHINESAM,存儲在C:WindowsSystem32configSAM文件中,保存了用戶的密碼信息。SECURITY:對應的分支HKEY_LOCAL_MACHINESECURITY,存儲在C:WindowsSystem32configSECURITY文件中,保存了安全性設置信息。SOFTWARE:分支是HKEY_LOCAL_MACHINESOFTWARE,文件存儲在C:WindowsSystem32configSOFTWARE中,保存安裝軟體的信息。修改注冊表的主要方式有:1、使用提供Windows提供的注冊表編輯器:%systemroot% egedit.exe;2、使用reg命令,可以對注冊表進行增刪改查、導入導出注冊表文件(reg文件)、導入導出或載入配置單元(RegHive)等操作;3、使用reg文件,用戶可以通過注冊表編輯器導出注冊表某些項為一個reg文件,反之可以導入一個reg文件將項目還原或者修改。
此外,為了防止注冊表出錯和損壞,Registry hives還包括注冊的事務日誌文件和注冊表的備份文件。事務日誌文件名與注冊表文件一致,且在同一個路徑中,只是後綴不同。事務日誌文件以.LOG為後綴,多個日誌後綴會顯示LOG1、LOG2這樣。(如果要查看這些日誌文件,需要打開文件夾選項,取消勾選「隱藏受保護的操作系統文件」)
備份文件則在WindowsSystem32configRegBack路徑中。
在發生修改將數據寫入到主文件之前,Hive寫入器會先將這些數據存儲在事務日誌文件中,如果寫入事務日誌時發生錯誤(比如系統崩潰),則主文件不會受影響。如果寫入主文件時發生錯誤,可以通過事務日誌包含的數據恢復主文件。
四、獲取和分析Hive要獲取Hive,可以通過reg save命令創建Registry Hives的副本。(在管理員許可權的命令提示符中執行)
C:WINDOWSsystem32>reg save hklmsam c:sam操作成功完成。C:WINDOWSsystem32>
分析Hive可以使用開源軟體RegRipper,RegRipper是一個用perl編寫的開源工具,可以從注冊表中提取和解析各種信息(Key、value、data)以供取證人員進行分析。
RegRipper項目地址:https://github.com/keydet89/RegRipper3.0
打開RegRipper軟體,選擇Hive文件,設置好報告存儲路徑,選擇好Profile,然後點Rip It
它會創建兩個文件,一個是日誌文件,一個是報告文件
打開SAM hive的分析報告文件,可以看到用戶和用戶組的詳細信息
五、取證實戰來源:Cynet應急響應挑戰賽
題目描述:Podrick 說在2020 年 2 月 3 日午餐時間(下午 12:00 左右),有一個惡意的 USB 設備插入了他的電腦。他還提到他看到他的一位同事——Theon G,手裡拿著 USB設備離開了他的辦公室。但Theon 聲稱他進入辦公室是為了拜訪 Aria(與Podrick在同一辦公室)。見Aria不在,他便離開了辦公室。Podrick沒有鎖屏的習慣,他懷疑Theon趁他不在的時候竊取了他的數據。
提示:1、檢查Podrick的電腦;2、確定2020年2月3日,是否有USB設備連接到Podrick的PC?;3、提交可疑 USB 設備的Serial/UID
題目提供的文件是幾個Hive文件
這些文件代表什麼,在前面的小節中都已經介紹過了,除了Amcache.hve,這是Win8及更高版本的系統才有的。它存儲與執行程序相關的信息,當用戶執行某些操作(例如運行基於主機的應用程序、安裝新應用程序或從外部設備運行攜帶型應用程序)時,它會記錄程序相關的信息:如程序的創建時間、修改時間、名稱、描述、程序廠商和版本、程序的執行路徑、SHA-1哈希值等。即使程序從系統中刪除,這些信息依然存在。
回到題目,我們要調查USB使用痕跡,根據前面的知識,我們需要分析SYSTEM這個Hive文件。
打開RegRipper工具,載入提供的SYSTEM文件,導出分析報告。
電腦打開報告文件,通過搜索USBSTOR(這個key()存儲了任何曾經連接過系統的USB設備的產品信息和設備ID),可以找到有關USB設備的注冊表信息。
通過查找和篩選比對,最終我們找到2020-12:12:32有一個USB設備插入了電腦,Serial/UID是: 4C530000281008116284
參考資料:Registry Hives - Win32 apps | Microsoft Docs https://docs.microsoft.com/en-us/windows/win32/sysinfo/registry-hives
注冊表 - 維基網路,自由的網路全書 https://zh.wikipedia.org/wiki/%電腦 E6%B3%A8%E5%86%8C%E8%A1%A8
regf/Windows registry file format specification.md at master · msuhanov/regf · GitHub https://github.com/msuhanov/regf/blob/master/Windows%20registry%20file%20format%20specification.md
本文涉及相關實驗:FastIRCollector:Windows取證利器 https://www.hetianlab.com/expc.do?ec=&pk_campaign=toutiao-wemedia(FastIR Collector是一個Windows下的取證/信息收集工具,收集的東西攬括了所有你能想到的東西,不限於內存,注冊表,文件信息等。本實驗將介紹FastIR Collector在windows 7下的使用。)