发现系统痕迹！RunMRU在Windows取证中的强大作用

大家好，我是V浪。今天给大家带来一个Windows系统取证分析中的重要话题 - RunMRU。作为一名安全研究者，了解RunMRU不仅能帮助我们追踪用户行为，还能在应急响应中发现潜在的威胁痕迹。

什么是RunMRU？

我们先来个通俗的比喻：RunMRU就像是Windows系统中的一个"小本本"，专门记录用户通过运行框（Win+R）执行过的命令。这就像餐厅会记录顾客最近点过的菜品一样，系统也会记住用户最近运行过的程序。

技术细节

1. 注册表位置

在线分析位置：

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

离线分析位置：

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

2. 数据结构

- MRUList：命令执行顺序的索引

- a,b,c,d...：具体的命令值

- 每个命令都有"\1"后缀

取证价值

从安全分析的角度来看，RunMRU具有以下重要价值：

用户行为分析

- 了解用户常用程序

- 识别异常程序执行

- 追踪文件访问历史

应急响应

- 发现恶意程序执行痕迹

- 确定攻击初始路径

- 识别可疑命令执行

内网渗透痕迹

- 远程连接记录

- 网络映射历史

- 工具使用记录

实战案例

案例一：勒索病毒分析

发现可疑现象：

- RunMRU中出现base64编码的命令

- 临时目录下的可执行文件执行记录

- 可疑PowerShell命令

分析结论：

攻击者通过运行框执行了编码后的恶意载荷

案例二：内网渗透追踪

可疑痕迹：

- 出现多个mstsc.exe连接记录

- 网络共享访问记录

- 批处理文件执行历史

分析价值：

可以重建攻击者的横向移动路径

防守方建议

日常监控1.1 监控RunMRU变化

reg query "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU"

小贴士reg query是Windows系统中一个非常实用的注册表查询工具。具体用法如下

reg query <KeyPath> [/v ValueName | /ve] [/s] [/f Data] [/k] [/d] [/c] [/e]

/v ValueName # 查询特定的键值

/ve # 查询默认值

/s # 递归查询所有子项

/f # 搜索指定的数据

/k # 只搜索键名

/d # 只搜索数据

/c # 区分大小写搜索

/e # 精确匹配

1.2 设置审计策略

auditpol /set /category:"Object Access" /success:enable /failure:enable

小贴士审计策略命令auditpol

auditpol # 审计策略管理工具

/set # 设置审计策略

/category:"Object Access" # 审计类别：对象访问

/success:enable # 记录成功的操作

/failure:enable # 记录失败的操作

定期清理

- 使用注册表编辑器手动清理

- 使用自动化脚本定期清理

- 利用组策略统一管理

安全加固

- 限制运行框使用权限

- 对敏感命令执行进行审计

- 建立命令白名单机制

取证技巧

在线分析

# 使用reg命令导出

reg export "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU" runmru.reg

# 使用PowerShell分析

Get-ItemProperty -Path "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU"

离线分析

- 提取NTUSER.DAT文件

- 使用取证工具分析

- 重建命令执行时间线

其他MRU列表

Windows系统中还有很多其他的MRU列表值得关注：

Office MRUOffice 2013-2024版本

# Word文档记录

HKCU\Software\Microsoft\Office\16.0\Word\File MRU

# Excel文件记录

HKCU\Software\Microsoft\Office\16.0\Excel\File MRU

# PowerPoint文件记录

HKCU\Software\Microsoft\Office\16.0\PowerPoint\File MRU

记录最近打开的Office文档

可能包含敏感文件访问记录

有助于数据泄露调查

最近文件夹MRU

# 最近文件夹MRU

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

# 具体文件类型MRU子项

.doc # Word文档

.txt # 文本文件

.pdf # PDF文件

.jpg # 图片文件

等等...

记录访问过的文件夹

帮助追踪文件操作行为

对取证分析很有价值

作为安全研究者，我们要善于利用这些系统自带的"记录本"，它们往往能帮我们还原事件真相，找出攻击痕迹。

今天的分享就到这里，我是V浪，我们下期见！