Поэтому я могу найти "Время последней записи" раздела реестра Windows, щелкнув его правой кнопкой мыши в regedit и экспортировав его в .txt.
Есть ли способ извлечь эту информацию с жесткого диска Windows без загрузки системы?
1 ответ
1
То, что вы хотите, должно быть в состоянии сделать с RegRipper.
Он имеет графический интерфейс, а также интерфейс командной строки для копирования реестра. Вам необходимо указать файл куста, чтобы его загрузка с подключенного Windows-диска не была проблемой (если у вас есть необходимые разрешения для файла)
Следующее из этой статьи о RegRipper. Вы можете Google для больше. (Не переходите по ссылкам на этой странице к RegRipper. Устарела)
Here is a small excerpt from a system registry file:
ComputerName = testbox
----------------------------------------
ControlSet002\Control\Windows key, ShutdownTime value
ControlSet002\Control\Windows
LastWrite Time Mon Jan 19 23:03:52 2009 (UTC)
ShutdownTime = Mon Jan 19 23:03:52 2009 (UTC)
----------------------------------------
ShutdownCount
ControlSet002\Control\Watchdog\Display
LastWrite Time Mon Jan 19 23:03:52 2009 (UTC)
ShutdownCount = 218
----------------------------------------
TimeZoneInformation key
ControlSet002\Control\TimeZoneInformation
LastWrite Time Sun Nov 2 14:14:54 2008 (UTC)
DaylightName -> Eastern Daylight Time
StandardName -> Eastern Standard Time
Bias -> 300 (5 hours)
ActiveTimeBias -> 300 (5 hours)
----------------------------------------
ControlSet002\Control\Terminal Server key, fDenyTSConnections value
LastWrite Time Fri Oct 24 20:53:51 2008 (UTC)
fDenyTSConnections = 1
----------------------------------------
Со страницы Forensicswiki.org:
RegRipper - «самый быстрый, простой и лучший инструмент для анализа реестра в судебных экспертизах».
На этой странице Forensicswiki.org вы также можете найти пару других. (внизу под "Open Source")