Windowsレジストリキーの変更日を探す
したがって、regeditで右クリックして、.txtにエクスポートすることにより、Windowsレジストリキーの「最終書き込み時間」を見つけることができます。
システムを起動せずに、マウントされたWindowsハードドライブからこの情報を取得する方法はありますか?
あなたが望むことは RegRipper でできるはずです。
GUIだけでなく、レジストリをリッピングするためのCLIもあります。 Hiveファイルを指定する必要があるため、マウントされたWindowsドライブからのロードは問題になりません(ファイルに必要なアクセス許可がある場合)
以下は、RegRipperに関するこの 記事 からのものです。あなたはもっとグーグルすることができます。 (そのページのRegRipperへのリンクをたどらないでください。古くなっています)
Here is a small excerpt from a system registry file:
ComputerName = testbox
----------------------------------------
ControlSet002\Control\Windows key, ShutdownTime value
ControlSet002\Control\Windows
LastWrite Time Mon Jan 19 23:03:52 2009 (UTC)
ShutdownTime = Mon Jan 19 23:03:52 2009 (UTC)
----------------------------------------
ShutdownCount
ControlSet002\Control\Watchdog\Display
LastWrite Time Mon Jan 19 23:03:52 2009 (UTC)
ShutdownCount = 218
----------------------------------------
TimeZoneInformation key
ControlSet002\Control\TimeZoneInformation
LastWrite Time Sun Nov 2 14:14:54 2008 (UTC)
DaylightName -> Eastern Daylight Time
StandardName -> Eastern Standard Time
Bias -> 300 (5 hours)
ActiveTimeBias -> 300 (5 hours)
----------------------------------------
ControlSet002\Control\Terminal Server key, fDenyTSConnections value
LastWrite Time Fri Oct 24 20:53:51 2008 (UTC)
fDenyTSConnections = 1
----------------------------------------
RegRipper —「フォレンジック検査におけるレジストリ分析のための最も速く、最も簡単で、最高のツール」。
このページ Forensicswiki.org から、他にもいくつか見つけることができます。 (「オープンソース」の下の下部にあります)