查找Windows注册表项修改日期

2

所以我可以通过在regedit中右键单击它并将其导出到.txt来找到Windows注册表项的“上次写入时间”。

有没有办法从挂载的Windows硬盘驱动器中提取此信息而不启动系统?

windows  windows-registry  forensics 
DHandle
source
将SAM注册表配置单元挂载到另一个可以从要检查的磁盘读取数据的Windows系统中。
Darth Android
我真的在寻找一种更具编程性的方法,而不是仅仅使用regedit GUI以这种方式导出。数据显然来自我应该能够查询/搜索的某个地方,我只是不知道在哪里。
DHandle
它来自注册表配置单元...你用什么来查询/刮掉那些?AFAIK的配置单元是二进制文件,不容易查询。如果没有工具可以做,你需要找到文件格式的文档并自己处理荨麻疹
Darth Android
这正是我正在寻找的那种信息。我无法在任何地方找到它。有解剖荨麻疹的工具,但它们似乎并不全面。
DHandle 2013年

Answers:

1

您想要的应该是使用RegRipper

它有一个GUI,但也有一个用于翻录注册表的CLI。您需要指定一个配置单元文件,因此从挂载的Windows驱动器加载一个应该不是问题(如果您对该文件具有必要的权限)

以下是关于RegRipper的这篇文章。你可以谷歌了解更多。(不要将该页面上的链接关注到RegRipper。它已过时)

Here is a small excerpt from a system registry file:

ComputerName = testbox
----------------------------------------
ControlSet002\Control\Windows key, ShutdownTime value
ControlSet002\Control\Windows
LastWrite Time Mon Jan 19 23:03:52 2009 (UTC)
    ShutdownTime = Mon Jan 19 23:03:52 2009 (UTC)
----------------------------------------
ShutdownCount
ControlSet002\Control\Watchdog\Display
LastWrite Time Mon Jan 19 23:03:52 2009 (UTC)
    ShutdownCount = 218
----------------------------------------
TimeZoneInformation key
ControlSet002\Control\TimeZoneInformation
LastWrite Time Sun Nov  2 14:14:54 2008 (UTC)
    DaylightName   -> Eastern Daylight Time
    StandardName   -> Eastern Standard Time
    Bias           -> 300 (5 hours)
    ActiveTimeBias -> 300 (5 hours)
----------------------------------------
ControlSet002\Control\Terminal Server key, fDenyTSConnections value
LastWrite Time Fri Oct 24 20:53:51 2008 (UTC)
    fDenyTSConnections = 1
----------------------------------------

Forensicswiki.org页面

RegRipper - “法医检查中最快,最简单,最好的注册分析工具。”

Forensicswiki.org的这个页面上您也可以找到其他几个。(在“开源”下的底部)

里克
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.