watanabe-hsad/WinReg-Wiki

# WinReg Wiki WinReg Wiki 是一个基于 MkDocs Material 构建的 Windows 注册表键/值查询与取证线索知识库。 GitHub 仓库: `https://github.com/watanabe-hsad/WinReg-Wiki.git` 该项目以维基而非长篇手册的形式组织。注册表位置页面解释键的存放位置及其值的含义。取证场景页面解释调查检查与交叉验证。条目页面作为补充条目保留，用于详细字段语义、采集说明、解析工具和结构化数据。 ## 主要入口点 - 注册表树：从 Windows 原生根键开始，例如 `HKEY_LOCAL_MACHINE`、`HKEY_CURRENT_USER`、`HKEY_USERS`、`HKEY_CLASSES_ROOT` 和 `HKEY_CURRENT_CONFIG`。 - 取证场景：从问题出发，例如程序执行、持久化、USB 设备、RDP、账户异常、安全策略更改、网络配置、软件安装和反取证。 - 条目补充索引：仅当场景或注册表位置页面需要更深入的特定条目说明时使用。 ## 在线站点 当前在线地址在仓库重命名后仍待确认。先前可访问的项目路径为： http://hsad.xyz/windows-registry-forensics-handbook/ 新仓库的 GitHub Pages 路径应在 GitHub Pages 设置中确认后才可记录为在线地址。 部署由 GitHub Actions 处理。每次推送到 `main` 分支时，工作流会： 1. 从 `requirements.txt` 安装依赖； 2. 从 `data/artifacts/*.yml` 重新生成 `docs/artifacts/generated-index.md`； 3. 运行 `mkdocs build --strict`； 4. 将生成的 `site/` 目录部署到 GitHub Pages。 ## 本地预览 ``` python3 -m venv .venv source .venv/bin/activate pip install -r requirements.txt python scripts/generate-artifact-index.py mkdocs serve ``` 然后打开： ``` http://127.0.0.1:8000 ``` 严格构建检查： ``` .venv/bin/mkdocs build --strict ``` 生成结构化条目数据索引： ``` .venv/bin/python scripts/generate-artifact-index.py ``` ## 内容原则 - 保持页面简洁、面向查询。 - 注册表树页面应读起来像键/值字典：路径、源配置单元、常见值、简短说明、相关场景。 - 将更深层的调查逻辑放在场景页面中；将条目页面作为补充细节而非主要阅读路径。 - 清晰区分证据强度：配置存在、程序存在、用户交互、程序执行、设备存在、策略削弱和恶意行为是不同的主张。 - 除非条目和工具输出明确支持，否则不要将注册表键的 LastWrite 视为值的创建时间。 - 准确解释实时到离线映射：`HKCU`、`HKCR`、`HKCC` 和 `CurrentControlSet` 是视图或映射，而非简单的独立配置单元文件。 - 明确区分 Windows 版本差异。如果行为未针对某个版本验证，则标记为待验证，而不是猜测。 ## 当前覆盖范围 当前覆盖内容包括： - HKCR、HKCU、HKLM、HKU、HKCC 的注册表树页面，以及 HKLM / HKCU 核心子树。 - 环境变量、命令处理器、Internet 设置 / ZoneMap、打印机、NetworkList Profiles、TCP/IP 接口、EventLog、FirewallPolicy、Defender 策略、WindowsFirewall 策略、App Paths、LogonUI、UAC 策略、AppCompatFlags、AeDebug、Winlogon 和 Session Manager 位置的注册表位置引用。 - 程序执行与程序存在条目：UserAssist、BAM / DAM、Amcache、ShimCache / AppCompatCache、MUICache。 - 持久化与自启动：Run / RunOnce、StartupApproved、Services、Drivers、IFEO、Active Setup、AppInit_DLLs、Winlogon Userinit、Winlogon Shell、LSA Authentication Packages、LSA Security Packages、Command Processor AutoRun、ShellServiceObjectDelayLoad、Print Monitors。 - USB 与外部设备：USB、USBSTOR、DeviceClasses、SWD WPDBUSENUM、MountedDevices、MountPoints2、EMDMgmt、便携设备、VolumeInfoCache。 - RDP 与远程访问：Terminal Server Client、fDenyTSConnections、RDP-Tcp 端口号、CredSSP / NLA。 - 账户与安全策略：ProfileList、Defender 策略、UAC 策略、Firewall 策略、审计策略、SpecialAccounts\UserList。 ## 结构化数据 结构化条目数据位于 `data/artifacts/*.yml`。`scripts/generate-artifact-index.py` 中的生成器读取这些 YAML 文件，并将生成的 Markdown 索引写入 `docs/artifacts/generated-index.md`。 手动叙述索引（如 `docs/artifacts/index.md`）不应被生成输出覆盖。 ## 项目状态 维护者与未来代理的交接说明位于： - `PROJECT_STATUS.md` - `ROADMAP.md` - `CHANGELOG.md` 本地目录当前仍命名为 `registry-forensics-handbook-demo`；正式项目名称为 `WinReg Wiki`。 ## 许可证 许可证：待定

标签：Awesome, ESC漏洞, GitHub Actions, GitHub Pages, MkDocs, Ruby, wiki, 取证场景, 取证线索知识库, 手动分析工具, 数字取证, 数据提取, 文档工具, 注册表, 注册表键值速查, 知识库, 系统管理, 自动化脚本, 自动笔记, 证据收集, 逆向工具, 速查手册, 键值查找, 静态站点生成