若是已經從某台計算機導出了注冊表中的存儲文件如”System”,有沒有合適的工具可以查看其內容,例如檢視USB存儲設備的使用記錄?
可采用的工具自然不只一種,但若是就取得的便利性來看,FTK Registry Viewer或是Nirsoft USBDeview都不錯,可直接將前述文件匯入以進行檢視.
但有個朋友就說, USBDeview只能在處於運行狀態的計算機上使用,其實不然,它也有提供指令,可以在DOS下分析注冊表中的存儲文件”System”,如下所示.在參數 /regfile 之后,指定”System”文件所在的完整路徑及文件名,即可得到你要的結果.
倘若目標對象不是注冊表中的存儲文件”System”,而是鏡像文件(E01)的話, USBDeview可以直接對它進行分析嗎?聽起來像是個不可能的任務對吧?但實際上是可行的,只要透過工具如FTK Imager掛載鏡像文件,於指令中填入注冊表中的存儲文件”System”的正確路徑及文件名即可,便能在不匯出的情況下直接分析無誤,如下所示.
此外,在上一篇之中,有特別提到Windows Update對於取證分析的影響須特別留意,除了可能會造成InstallDate變動之外,其實對於USB存儲設備插拔記錄的時間戳也是有所影響.意即你在USBDeview或其它工具所看到的時間戳”Created Date”恐已非當初的日期時間,也是由於受Windows Update的影響所致.
那要如何得知確切的USB存儲設備使用歷程呢?可以參考Windows事件日志,如下所示,對照”System”中所發現的USB存儲設備信息,應可有效掌握.
