1.打开可信任的CMD.exe文件,并存储在指定目录中
2.使用reg命令将注册表中的项目输出并存储在指定目录中
3.使用MD5工具固定证据
使用windows powershell自带MD5。
Run.rge注册表生成md5哈希文件:certutil -hashfile 导出的注册表所在的绝对路径 md5
RunMRU.rge注册表生成md5哈希文件:certutil -hashfile 导出的注册表所在的绝对路径 md5
将生成的md5哈希值存放到一个md5.txt文件里:
certutil -hashfile Run.reg MD5>>MD5.txt
certutil -hashfile RunMRU.reg MD5>>MD5.txt
4.使用diskgenius工具查看注册表信息
但其实我并没有看到diskgenius工具在这里起到的作用。如果能下到encase 就太好了~跪求一个encase破解版。