网站导航
> 文章列表 > 注册表取证

注册表取证

网友: 文章列表 2024-03-22 04:31:10

注册表取证

目录

操作系统安装时间

计算机名称

本地用户

最后登录的用户

当前登录用户

U盘序列号

USB挂载的盘符

卷标名称

安装的程序

​编辑卸载的程序

最近使用的文件

最近运行的命令行

操作系统安装时间

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion的InstallDate子键

 关机时间

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\Windows的ShutdownTime键值,以64位Windows/FILETIME时间格式保存。

计算机名称

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Control\\ComputerName\\ComputerName的ComputerName键值

本地用户

HKEY_LOCAL_MACHINE\\SAM\\SAM\\Domains\\Account\\Users\\Names

最后登录的用户

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Authentication\\LogonUI

当前登录用户

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Authentication\\LogonUI\\SessionData\\1
这个键值在关机后会被删除掉

U盘序列号

HKEY_LOCAL_MACHINE\\SYSTEM\\ControlSet001\\Enum\\USBSTOR\\Disk&Ven_WD&Prod_Elements_SE_2623&Rev_1034
Disk:说明该设备是一个USB存储介质设备,而不是不可存储的设备
Ven厂商:后面的WD就是西部数据
Prod产品型号:Elements_SE_2623
Rev版本:1034
序列号:子健的键值,&0前面的数值
键值有GUID

USB挂载的盘符

计算机\\HKEY_LOCAL_MACHINE\\SYSTEM\\MountedDevices

Disk&Ven_WD&Prod_Elements_SE_2623&Rev_1034对应的盘符E盘

卷标名称

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows Portable Devices\\Devices

安装的程序

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\App Paths

卸载的程序

HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Uninstall

最近使用的文件

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\ComDlg32\\OpenSavePidlMRU

最近运行的命令行

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\RunMRU

网络标签:

相关问题