注册表取证

已于 2023-04-23 08:07:37 修改
阅读量701 收藏 5
点赞数 3
分类专栏: 取证 文章标签: windows
于 2023-04-22 12:17:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wow0524/article/details/130301808
版权

目录

操作系统安装时间

计算机名称

本地用户

最后登录的用户

当前登录用户

U盘序列号

USB挂载的盘符

卷标名称

安装的程序

​编辑卸载的程序

最近使用的文件

最近运行的命令行

操作系统安装时间

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion的InstallDate子键

 关机时间

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Windows的ShutdownTime键值,以64位Windows/FILETIME时间格式保存。

计算机名称

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ComputerName\ComputerName的ComputerName键值

本地用户

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

最后登录的用户

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI

当前登录用户

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\SessionData\1
这个键值在关机后会被删除掉

U盘序列号

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\USBSTOR\Disk&Ven_WD&Prod_Elements_SE_2623&Rev_1034
Disk:说明该设备是一个USB存储介质设备,而不是不可存储的设备
Ven厂商:后面的WD就是西部数据
Prod产品型号:Elements_SE_2623
Rev版本:1034
序列号:子健的键值,&0前面的数值
键值有GUID

USB挂载的盘符

计算机\HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices

Disk&Ven_WD&Prod_Elements_SE_2623&Rev_1034对应的盘符E盘

卷标名称

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Portable Devices\Devices

安装的程序

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths

卸载的程序

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall

最近使用的文件

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU

最近运行的命令行

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU

五五六六0524
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
注册表取证工具.zip
10-20
注册表取证工具.zip分享给大家,请有需要的人学习下载,后续会更新各种网络安全工具,请关注
命令行上的数据科学第二版:七、探索数据
龙哥盟
03-30 230
检查数据及其属性计算描述性统计量在命令行内外创建数据可视化$ ltotal 104K获取这些文件的说明在第二章中。任何其他文件都是使用命令行工具下载或生成的。在这一章中,我们已经研究了探索数据的各种方法。文本和图形数据可视化各有利弊。图形的质量显然要高得多,但是在命令行中查看可能有些棘手。这就是文本可视化派上用场的地方。由于有了R和ggplot2,至少rush有了创建这两种类型的一致语法。下一章又是一个间奏曲章节,在这一章中,我将讨论如何提高命令和管道的速度。
《深入理解Windows操作系统》笔记6
数据库天地
02-24 956
lkd>lmkv startendmodulename 804d8000806e5000nt(pdbsymbols)c:\windows\symbols\exe\ntkrpamp.pdb Loadedsymbolimagefile:ntkrpamp.exe Imagepath:ntkrpamp.exe Imagename:ntkrpamp.exe Timestamp:MonApr1402:...
爬虫逆向实战(20)-某99网站登录(魔改md5、图片验证码)
qq_44906798的博客
08-24 1万+
请求第二个接口获取到图片验证码的地址,请求该地址获取到图片,破解图片验证码(我使用的是打码平台)。生成加密参数,携带加密参数以及图片验证码请求登录接口。的加密方法,发现是加盐的md5,通过控制台测试字符串’1’,可以看出时标准的md5。但是当我使用标准的md5加密加盐后的字符串时,却发现与网站加密出的密文不同。通过观察这三个请求可以发现,第二个请求会携带第一个请求返回响应中的。通过定位到的加密位置,扣出加密代码,缺啥补啥即可。,第二个请求返回的响应中有第三个请求的地址。是可以写死的,每次生成的都是一样的。
python wmi 显卡型号_确定通过WMI运行的GPU
weixin_35455135的博客
01-14 294
instance ofWin32_VideoController{AdapterCompatibility="Intel Corporation";AdapterDACType="Internal";AdapterRAM=1073741824;Availability=3;Caption="Intel(R) HD Graphics 4600";ConfigManagerErrorCode=0;Co...
Windows 取证注册表
dzqxwzoe的博客
09-12 729
Registry)是操作系统和其应用程序中的一个重要的层次型数据库,用于存储系统和应用程序的配置信息。早在推出OLE技术的时候,注册表就已经出现。但是,从Windows 95开始,注册表才真正成为Windows用户经常接触的内容,并在其后的操作系统中继续沿用至今。随后推出的Windows NT是第一个从系统级别广泛使用注册表的操作系统。
计算机取证注册表调查
zsrzy的博客
04-07 445
1.打开可信任的CMD.exe文件,并存储在指定目录中。2.使用reg命令将注册表中的项目输出并存储在指定目录中。使用windows powershell自带MD5。3.使用MD5工具固定证据。4.使用diskgenius工具查看注册表信息。
巧用Windows注册表进行计算机司法取证分析工作
android移动设备
12-20 3025
注册表Windows操作系统(9x/Me/Nt/2000/XP)、硬件设备及客户应用程序得以正常运行和保存设置的核心“数据库”,也可以说是一个非常巨大的树状分层结构的数据库系统。它记录了用户安装在计算机上的软件和每个程序(包括Windows操作系统本身)的相互关联信息,包含了计算机的硬件配置,包括了自动配置的即插即用设备和已有的各种设备说明、状态属性及各种信息和数据。   正是由于Windo
删除win10电脑U盘使用记录
热门推荐
qq_40544338的博客
05-26 1万+
手工删除:和查看的方法类似,分三步,缺一不可,顺序也不能反! 第一步 设置环境变量,变量名为“devmgr_show_nonpresent_devices”,值为“1”。 第二步 打开设备管理器,勾上“查看”菜单中的“显示隐藏设备”。如果之前已经打开设备管理器,则要关了,重新打开。 第三步 清除“磁盘驱动器”、“存储卷”、“通用串行总线控制器”3个栏目下所有的灰色的图标,注意是所有!右键点击灰色图标,然后选择“卸载”。 成功 :结果USBSTOR 没有了 ...
windows取证
02-21
取证分析,从日志,内存等方面去分析当一个机器被入侵后,会出现一些什么情况。还有涉及到注册表,以及一些文件夹里面存在的历史记录等等。还有浏览器浏览记录
reg_hunter:Blueteam操作分流注册表狩猎取证工具
04-14
reg_hunter Blueteam操作分类检查注册表搜寻/取证工具。 我希望不仅将注册表分类和搜索纳入其中。 我很乐意看到此工具成为所有Windows持久性机制的独立分类/查找工具。 演示和杂项。 通过法医午餐播客获得有关...
内存取证的艺术
02-21
取证分析,从日志,内存等方面去分析当一个机器被入侵后,会出现一些什么情况。还有涉及到注册表,以及一些文件夹里面存在的历史记录等等。还有浏览器浏览记录
注册表快速查找表格-手工取证必备手册
01-11
注册表快速查找表格-快速找到注册表里的详细信息以及注册表的具体位置,手工取证必备手册!
TCP案例-实时群聊
最新发布
qq_40603125的博客
04-23 274
【代码】TCP案例-实时群聊。
第四十六节 Java 8 Stream
2301_78772942的博客
04-23 860
第四十六节 Java 8 Stream
集合框架(二)前置知识
2301_80477449的博客
04-21 256
可变参数:就是一种特殊形参,定义在方法,构造器的形参列表里,格式是:“数据类型...参数名称”特点:可以不传数据给它,可以传一个或多个数据给它,也可以传一个数组给它。Collections提供的常用静态方法。②一个形参列表中可变参数只能有一个。③可变参数必须放在形参列表的最后面。①可变参数在方法内部就是一个数组。好处:常常用来灵活的接受数据。*是一个用来操作集合的工具类。可变参数的特点和好处。
Java 网络编程之TCP(二):基于BIO的聊天室
u013771019的专栏
04-21 297
中,介绍Java中I/O和TCP的基本概念,本文在上文的基础上,实现一个基本的聊天室的功能。由于基于BIO,那么服务端都需要用两个线程,来分别进行收发消息。聊天客户端:发送消息给所有其他客户端,接收其他客户端的消息。要想实现上面的聊天室的功能,我们需要一个服务端,和客户端。服务端:接收客户端的消息,并转发给其他客户端。客户端:发送消息给服务端,接收服务端的消息。
Day12-Java进阶-Stream流 & File类
weixin_68063226的博客
04-23 404
*需求: 键盘录入一个文件夹路径,如果输入错误就给出提示,并继续录入,直到正确为止*/System.out.println("请输入一个文件夹路径: ");if (!System.out.println("您输入的文件夹不存在, 请重新输入: ");System.out.println("您输入的是一个文件路径, 请重新输入: ");
常见的Windows注册表取证内容包括哪些?
04-24
常见的Windows注册表取证内容包括以下几个方面: 1. 用户账户和密码:包括用户的登录名、密码、安全标识符等。 2. 系统启动项:包括开机自启动的程序、服务和组件等信息。 3. 安装的软件:包括安装的应用程序、...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值