Windows 注册表中是否有任何类型的日期跟踪或可查看的日期跟踪,比如查看创建 X 键或修改 Y 键的日期,类似于文件系统跟踪的方式?
我正在尝试查找在特定日期范围内对注册表的特定区域所做的更改,如果有一种方法可以处理日期数据,那就太好了。
答案1
注册表项具有最后修改时间戳。您可以使用 Regedit 导出注册表项,选择“.txt”输出格式。该文本文件将包含最后修改日期和时间。
NirSoft 的 RegScanner 实用程序允许人们根据最后修改的时间戳范围过滤选定的注册表项。
答案2
网上有许多与取证相关的脚本可以帮助实现这一点。如果您知道密钥并且数量合理,您还可以在注册表编辑器中将它们导出到 .txt 文件中。LastWrite 日期/时间将在那里。