您现在的位置是:首页 >学无止境 >注册表取证网站首页学无止境

注册表取证

五五六六0524 2023-06-05 20:00:02
简介注册表取证

目录

操作系统安装时间

计算机名称

本地用户

最后登录的用户

当前登录用户

U盘序列号

USB挂载的盘符

卷标名称

安装的程序

​编辑卸载的程序

最近使用的文件

最近运行的命令行

操作系统安装时间

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion的InstallDate子键

 关机时间

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlWindows的ShutdownTime键值,以64位Windows/FILETIME时间格式保存。

计算机名称

HKEY_LOCAL_MACHINESYSTEMControlSet001ControlComputerNameComputerName的ComputerName键值

本地用户

HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNames

最后登录的用户

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionAuthenticationLogonUI

当前登录用户

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionAuthenticationLogonUISessionData1
这个键值在关机后会被删除掉

U盘序列号

HKEY_LOCAL_MACHINESYSTEMControlSet001EnumUSBSTORDisk&Ven_WD&Prod_Elements_SE_2623&Rev_1034
Disk:说明该设备是一个USB存储介质设备,而不是不可存储的设备
Ven厂商:后面的WD就是西部数据
Prod产品型号:Elements_SE_2623
Rev版本:1034
序列号:子健的键值,&0前面的数值
键值有GUID

USB挂载的盘符

计算机HKEY_LOCAL_MACHINESYSTEMMountedDevices

Disk&Ven_WD&Prod_Elements_SE_2623&Rev_1034对应的盘符E盘

卷标名称

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows Portable DevicesDevices

安装的程序

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionApp Paths

卸载的程序

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionUninstall

最近使用的文件

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePidlMRU

最近运行的命令行

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerRunMRU

风语者!平时喜欢研究各种技术,目前在从事后端开发工作,热爱生活、热爱工作。

站长推荐