Eu criei um Objeto de Diretiva de Grupo usando o Console de Gerenciamento da Microsoft para impedir que pessoas que não sejam administradores possam fazer certas coisas (acessar o painel de controle, executar o regedit, etc.). Recentemente, descobri que algumas dessas restrições foram removidas.
Ao investigar o problema, descobri que ntuser.pol (o arquivo que contém as informações de política de grupo para um usuário) ainda refletia as configurações corretas, mas o arquivo de seção de registro correspondente ntuser.dat não o fazia.
Eu acredito que os arquivos ntuser.dat.log1 e ntuser.dat.log2 podem conter informações sobre qual processo mudou ntuser.dat e quando. Infelizmente, esses arquivos estão em formato binário e não consigo encontrar um leitor para eles. Eu queria saber se há, de fato, um leitor para esses tipos de arquivos ou se esses arquivos podem ser usados em análises forenses de alterações ntuser.dat de alguma outra forma?
Os arquivos de log do hive do registro não são logs no sentido de que eles rastreiam alterações anteriores, mas sim logs de transações (como logs de transações do banco de dados). Eles armazenam temporariamente informações suficientes para refazer ou desfazer transações pendentes na seção do Registro. Assim, você não pode descobrir qual processo mudou uma configuração ou quando.