我正在尝试在使用过程中复制“C:\Windows\appcompat\Programs\Amcache.hve”,不使用第三方工具(气隙)

tag-icon tag-icon windows
我正在尝试在使用过程中复制“C:\Windows\appcompat\Programs\Amcache.hve”,不使用第三方工具(气隙)

我正在尝试在实时系统上(无需停机)复制“C:\Windows\appcompat\Programs\Amcache.hve”,但它正在使用中。

或类似的东西能REG SAVE做到这一点吗?它可以拯救其他蜂巢,但似乎只能通过蜂巢路径HKLM/...

我正在做计算机取证工作,通常会使用其他工具来复制这个,但是 Windows 有没有原生的东西可以做到这一点?

答案1

我几乎有一个答案,可能,通过卷影复制服务。

有两种本机工具可用于与该服务配合使用:

理论上(如果我理解卷影复制服务的作用)基于文档,我应该能够使用这些命令来实现正在使用的活动磁盘的克隆,然后访问该克隆:

vssadmin create shadow /for=c:
diskshadow
listshadows all
expose <ShadowID> z:

还没有机会测试。将会更新。

相关内容