Tìm Windows Registry Key Sửa đổi ngày

2

Vì vậy, tôi có thể tìm thấy "Thời gian ghi cuối cùng" của khóa sổ đăng ký windows bằng cách nhấp chuột phải vào nó trong regedit và xuất nó thành .txt.

Có cách nào để lấy thông tin này từ ổ cứng gắn trên windows mà không cần khởi động hệ thống không?

windows  windows-registry  forensics 
Đuôi
nguồn
Gắn tổ chức đăng ký SAM trong một hệ thống cửa sổ khác có thể đọc dữ liệu từ đĩa bạn muốn kiểm tra.
Darth Android
Tôi thực sự đang tìm kiếm một cách lập trình hơn để làm điều đó, thay vì chỉ sử dụng GUI regedit để xuất theo kiểu đó. Dữ liệu rõ ràng đến từ một nơi nào đó tôi có thể truy vấn / cạo, tôi chỉ không biết ở đâu.
DHandle
Nó đến từ tổ ong đăng ký ... bạn dùng gì để truy vấn / cạo chúng? AFAIK tổ ong là các tệp nhị phân và không dễ dàng truy vấn. Nếu không có công cụ để làm điều đó, bạn cần tìm tài liệu về định dạng tệp và tự xử lý tổ ong
Darth Android
Đó chính xác là loại thông tin tôi đang tìm kiếm. Tôi đã không thể tìm thấy nó ở bất cứ đâu. Có những công cụ để phân tích tổ ong, nhưng dường như chúng không toàn diện.
DHandle

Câu trả lời:

1

Những gì bạn muốn sẽ có thể làm với RegRipper .

Nó có GUI nhưng cũng có CLI để trích xuất registry. Bạn cần chỉ định tệp hive để tải một tệp từ ổ đĩa Windows được gắn kết không phải là vấn đề (nếu bạn có các quyền cần thiết trên tệp)

Sau đây là từ bài viết này về RegRipper. Bạn có thể Google để biết thêm. (Đừng theo các liên kết trên trang đó tới RegRipper. Nó đã lỗi thời)

Here is a small excerpt from a system registry file:

ComputerName = testbox
----------------------------------------
ControlSet002\Control\Windows key, ShutdownTime value
ControlSet002\Control\Windows
LastWrite Time Mon Jan 19 23:03:52 2009 (UTC)
    ShutdownTime = Mon Jan 19 23:03:52 2009 (UTC)
----------------------------------------
ShutdownCount
ControlSet002\Control\Watchdog\Display
LastWrite Time Mon Jan 19 23:03:52 2009 (UTC)
    ShutdownCount = 218
----------------------------------------
TimeZoneInformation key
ControlSet002\Control\TimeZoneInformation
LastWrite Time Sun Nov  2 14:14:54 2008 (UTC)
    DaylightName   -> Eastern Daylight Time
    StandardName   -> Eastern Standard Time
    Bias           -> 300 (5 hours)
    ActiveTimeBias -> 300 (5 hours)
----------------------------------------
ControlSet002\Control\Terminal Server key, fDenyTSConnections value
LastWrite Time Fri Oct 24 20:53:51 2008 (UTC)
    fDenyTSConnections = 1
----------------------------------------

Từ trang Forensicswiki.org :

RegRipper - "công cụ nhanh nhất, dễ nhất và tốt nhất để phân tích đăng ký trong các kỳ thi pháp y."

Trên trang này từ Forensicswiki.org bạn cũng có thể tìm thấy một vài người khác. (ở dưới cùng trong "Nguồn mở")

Rik
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.