Velociraptor项目中MULTI_SZ类型注册表值解析问题分析

在Windows系统取证和监控工具Velociraptor（v0.74.2版本）中，发现了一个关于注册表MULTI_SZ类型值处理的潜在问题。这个问题会影响安全研究人员对系统关键注册表项的完整解析，特别是在分析安全认证相关配置时。

问题本质

MULTI_SZ是Windows注册表中用于存储多字符串的特殊数据类型。按照微软规范，这种类型的数据应该以UTF-16编码格式存储，其中各个字符串之间用空字符(\0)分隔，最后以两个空字符(\0\0)表示结束。例如"scecli\0Win32Project3\0\0"这样的结构应该被解析为两个独立字符串。

然而在Velociraptor的实现中，当查询包含多个字符串的MULTI_SZ注册表值时（如示例中的"Notification Packages"项），工具只能正确显示第一个字符串("scecli")，而忽略了后续字符串("Win32Project3")。

技术影响

这个解析缺陷会导致以下安全问题：

1. 安全配置遗漏：在LSA(本地安全认证)的Notification Packages中，多个认证包可能被配置但只显示第一个，导致安全审计不完整
2. 取证数据缺失：调查恶意软件时可能遗漏通过注册表加载的恶意DLL信息
3. 误判风险：安全人员可能因为看不到完整配置而做出错误的安全评估

解决方案验证

通过注册表编辑器和Velociraptor的对比测试可以验证此问题：

1. 使用reg add命令添加包含两个字符串的MULTI_SZ值
2. reg query能正确显示原始数据（包含\0分隔符）
3. 但Velociraptor查询仅返回第一个字符串

修复情况

该问题已在Velociraptor v0.74.3版本中得到修复。新版本现在能够正确解析MULTI_SZ类型注册表值中的所有字符串，为安全研究和取证分析提供了更完整的数据支持。

最佳实践建议

对于安全研究人员和系统管理员：

1. 进行注册表分析时，注意检查工具对MULTI_SZ类型的支持情况
2. 关键系统配置项（如LSA相关）应使用多种工具交叉验证
3. 保持Velociraptor等工具的最新版本，以获取最准确的分析结果
4. 在编写自定义解析工具时，特别注意Windows注册表特殊数据类型的处理规范

这个问题提醒我们，在系统级安全工具开发中，对操作系统底层数据结构的精确理解至关重要，任何微小的解析差异都可能导致安全评估的重大偏差。