Windows Kayıt Defteri Anahtarı Değiştirme Tarihi Bul

2

Böylece bir Windows kayıt defteri anahtarının "Son Yazma Zamanı" nı regedit içine sağ tıklayarak ve .txt dosyasına aktararak bulabilirim.

Sistemi açmadan bu bilgiyi monte edilmiş bir cam sabit diskinden çekmenin bir yolu var mı?

windows  windows-registry  forensics 
DHandle
kaynak
SAM kayıt defteri kovanlarını, incelemek istediğiniz diskten veri okuyabilen başka bir sisteme yerleştirin.
Darth Android
Gerçekten bu şekilde dışa aktarmak için regedit GUI kullanmak yerine, bunu yapmanın daha programlı bir yolunu arıyorum. Veriler açıkça sorgulayabildiğim / sorgulayabileceğim bir yerden geliyor, sadece nerede olduğunu bilmiyorum.
DHandle
Kayıt kovanlarından geliyor ... sorgulamak / kazımak için ne kullanıyorsun? AFAIK kovanları ikili dosyalardır ve kolayca sorgulanmazlar. Bunu yapacak bir araç yoksa, dosya biçimiyle ilgili belgeleri bulmanız ve kovanları kendiniz işlemeniz gerekir
Darth Android
Bu tam olarak aradığım türden bir bilgi. Hiçbir yerde bulamadım. Kovanları ayrıştırmak için araçlar var, ancak göründüğü kadar kapsamlı değiller.
DHandle

Yanıtlar:

1

İstediğiniz RegRipper ile yapabilecek .

Bir GUI'ye ve ayrıca kayıt defterini kopyalamak için bir CLI'ye sahiptir. Bir kovan dosyası belirtmeniz gerekir; bu nedenle, takılı bir Windows sürücüsünden bir dosyayı yüklemek bir sorun olmamalıdır (dosyada gerekli izinleriniz varsa)

Aşağıdaki RegRipper ile ilgili bu makaleden . Daha fazla bilgi için Google’ı kullanabilirsiniz. (Bu sayfadaki bağlantıları RegRipper'a takip etmeyin. Modası geçmiş)

Here is a small excerpt from a system registry file:

ComputerName = testbox
----------------------------------------
ControlSet002\Control\Windows key, ShutdownTime value
ControlSet002\Control\Windows
LastWrite Time Mon Jan 19 23:03:52 2009 (UTC)
    ShutdownTime = Mon Jan 19 23:03:52 2009 (UTC)
----------------------------------------
ShutdownCount
ControlSet002\Control\Watchdog\Display
LastWrite Time Mon Jan 19 23:03:52 2009 (UTC)
    ShutdownCount = 218
----------------------------------------
TimeZoneInformation key
ControlSet002\Control\TimeZoneInformation
LastWrite Time Sun Nov  2 14:14:54 2008 (UTC)
    DaylightName   -> Eastern Daylight Time
    StandardName   -> Eastern Standard Time
    Bias           -> 300 (5 hours)
    ActiveTimeBias -> 300 (5 hours)
----------------------------------------
ControlSet002\Control\Terminal Server key, fDenyTSConnections value
LastWrite Time Fri Oct 24 20:53:51 2008 (UTC)
    fDenyTSConnections = 1
----------------------------------------

Gönderen Forensicswiki.org sayfa :

RegRipper - "adli tıp incelemelerinde kayıt defteri analizi için en hızlı, en kolay ve en iyi araç."

Forensicswiki.org adresindeki bu sayfada bir çiftini de bulabilirsiniz. (alt kısımda "Açık Kaynak" altında)

Rik
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.