因此,我可以通过在 regedit 中右键单击 Windows 注册表项并将其导出为 .txt 来找到该注册表项的“上次写入时间”。
有没有办法可以在不启动系统的情况下从已安装的 Windows 硬盘中提取这些信息?
答案1
你想要的应该能够用雷珀。
它有一个 GUI,还有一个用于提取注册表的 CLI。您需要指定一个配置单元文件,因此从已安装的 Windows 驱动器加载一个配置单元文件应该不成问题(如果您对该文件具有必要的权限)
以下内容来自文章有关 RegRipper 的信息。您可以通过 Google 查找更多信息。(不要点击该页面上的链接进入 RegRipper。它已经过时了)
Here is a small excerpt from a system registry file:
ComputerName = testbox
----------------------------------------
ControlSet002\Control\Windows key, ShutdownTime value
ControlSet002\Control\Windows
LastWrite Time Mon Jan 19 23:03:52 2009 (UTC)
ShutdownTime = Mon Jan 19 23:03:52 2009 (UTC)
----------------------------------------
ShutdownCount
ControlSet002\Control\Watchdog\Display
LastWrite Time Mon Jan 19 23:03:52 2009 (UTC)
ShutdownCount = 218
----------------------------------------
TimeZoneInformation key
ControlSet002\Control\TimeZoneInformation
LastWrite Time Sun Nov 2 14:14:54 2008 (UTC)
DaylightName -> Eastern Daylight Time
StandardName -> Eastern Standard Time
Bias -> 300 (5 hours)
ActiveTimeBias -> 300 (5 hours)
----------------------------------------
ControlSet002\Control\Terminal Server key, fDenyTSConnections value
LastWrite Time Fri Oct 24 20:53:51 2008 (UTC)
fDenyTSConnections = 1
----------------------------------------
RegRipper — “法医检查中最快、最简单、最好的注册表分析工具。”
在此页面上法医维基百科您还可以找到其他一些。(在底部的“开源”下)