若是已经从某台计算机导出了注册表中的存储文件如”System”,有没有合适的工具可以查看其内容,例如检视USB存储设备的使用记录?
可采用的工具自然不只一种,但若是就取得的便利性来看,FTK Registry Viewer或是Nirsoft USBDeview都不错,可直接将前述文件汇入以进行检视.
但有个朋友就说, USBDeview只能在处于运行状态的计算机上使用,其实不然,它也有提供指令,可以在DOS下分析注册表中的存储文件”System”,如下所示.在参数 /regfile 之后,指定”System”文件所在的完整路径及文件名,即可得到你要的结果.
倘若目标对象不是注册表中的存储文件”System”,而是镜像文件(E01)的话, USBDeview可以直接对它进行分析吗?听起来像是个不可能的任务对吧?但实际上是可行的,只要透过工具如FTK Imager挂载镜像文件,于指令中填入注册表中的存储文件”System”的正确路径及文件名即可,便能在不汇出的情况下直接分析无误,如下所示.
此外,在上一篇之中,有特别提到Windows Update对于取证分析的影响须特别留意,除了可能会造成InstallDate变动之外,其实对于USB存储设备插拔记录的时间戳也是有所影响.意即你在USBDeview或其它工具所看到的时间戳”Created Date”恐已非當初的日期时间,也是由于受Windows Update的影响所致.
那要如何得知确切的USB存储设备使用历程呢?可以参考Windows事件日志,如下所示,对照”System”中所发现的USB存储设备信息,应可有效掌握.
