我有一些来自不同机器(其中一些来自我不再拥有的机器)的以前 Windows 安装的磁盘/磁盘映像。
我试图找出这些曾经在哪台机器上。安装它们后,我可以从/Users/..目录中找出用户名,这可以提供一些提示,但总是足够的。
问题:
如何从 Windows 系统驱动器数据中找出系统和硬件信息?
例如:主机名、CPU 等。
我猜这些存储在磁盘的某个地方,但我知道这些工具只能在启动的系统上使用。
我最好从 Linux 执行此操作,但 Windows 工具也很有用。
答案1
%SystemRoot%您将在位于下的各个文件夹中的注册表配置单元中找到此信息C:\Windows。
该HKEY_LOCAL_MACHINE配置单元位于下
%SystemRoot%\System32\Config\Software,包含有关硬件的信息。此键下的每个分支都存储在单独的配置单元文件中。
该HKEY_USERS配置单元位于%SystemRoot%\Users
并包含有关用户帐户的信息。
只需检查上述注册表配置单元的内容就可以找到更详细的信息。
对于文档,您可以从以下位置开始:
- hivexsh(1):Linux 上的 Windows 注册表配置单元 shell
- 维基百科 Windows 注册表
- 微软高级用户的 Windows 注册表信息
(这个答案仅作为非常初步的指示,绝不是作为取证教程。)