Имея доступ к образу системы, которую я не могу загрузить на виртуальной машине, как я могу выяснить, кто зарегистрировал Windows и ее организацию? Я могу использовать вскрытие для доступа к файлам, но не знаю, в каком файле хранится такая информация.
Я попытался в setupact.log, который содержит информацию о действиях, выполненных во время установки, но я не смог получить эту информацию. Мне также нужно найти идентификатор продукта (не ключ продукта), но его нет и в этом файле.
Обычно это можно найти в реестре с помощью поиска « ProductID », однако нет определенного ключа, поскольку он будет внутри шестнадцатеричного значения (например, 4932487236ABDEF0000), но он будет внутри:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\Products\$HEXKEY
Значения сообщат вам ключ продукта, RecCompany, RegOwner, Contact (если введено при установке) и так далее.
Очевидно, у вас мало опыта судебной экспертизы, если вы не поняли мой первоначальный ответ. Вы можете смонтировать этот образ как виртуальную систему и сделать это, перенести его в EnCase и сделать это, или даже в Digital Forensics Framework и извлечь его. Есть много вариантов, чтобы использовать, чтобы прочитать изображение.