Ho creato un'immagine del disco rigido usando l'imager FTK. Voglio estrarre i registri degli eventi di Windows. Il sistema eseguiva Windows 7. Cosa dovrei fare?
I registri eventi di Windows sono memorizzati nei seguenti percorsi per impostazione predefinita:
2000, XP e 2003
C:\Windows\system32\config
Vista +
C:\Windows\system32\winevt\logs
Modelli di messaggi di eventi e parametri
I modelli di messaggi degli eventi e dei parametri specifici per ogni tipo di registro sono archiviati in DLL (quindi è possibile interpretare i messaggi e i parametri nel contesto per ogni registro) e la loro posizione viene archiviata in la chiave Eventlog nel registro , situata in:
HKLM\SYSTEM\CurrentControlSet\services\Eventlog
Puoi anche usare questa chiave per verificare che i registri degli eventi vengano archiviati nella loro posizione predefinita poiché un amministratore può cambiarli (tali cambiamenti si rifletteranno in questo sottotesto di chiave).
Log "evty" evt
Quando copia gli eventi registrati da un sistema live, per i vecchi registri *.evt (2000, XP e 2003), hanno un byte di stato del file che a volte può impedire di leggere i registri nei visualizzatori standard quando è un valore dispari . La correzione dei registri è ben documentata , e c'era uno strumento chiamato fixevt.exe che rendeva questo più semplice ma non conosco una fonte affidabile di download, quindi lascerò questo esercizio al lettore per trovarlo ( il sito in cui è stato utilizzato essere localizzato indica che l'account del provider di hosting è stato sospeso).
Vai all'inizio digita cmd digitare regedit nella casella aperta e fare clic su Invio Individua e fai clic sulla seguente chiave di registro: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Eventlog Fare clic sulla sottochiave che rappresenta il registro eventi che si desidera spostare, ad esempio fare clic su Applicazione. Nel riquadro destro, fare doppio clic su File. Digitare il percorso completo nella nuova posizione (incluso il nome del file di registro) nella casella Dati valore, quindi fare clic su Invio.
Ad esempio, se si desidera spostare il registro dell'applicazione (Appevent.evt) nella cartella Eventlogs sull'unità E, digitare e: \ eventlogs \ appevent.evt. Ripetere i passaggi da 4 a 6 per ciascun file di registro che si desidera spostare. Fare clic su Esci nel menu Registro di sistema. Riavvia il computer.
Leggi altre domande sui tag windows forensics investigation