Como abrir um arquivo de registro bruto (retirado de outro computador)?

Navegue suas respostas
1

Estou trabalhando em um caso de investigação forense digital (obviamente não em um caso real) e tenho uma imagem bruta (.dd) de uma partição do Windows (NTFS). Eu tenho que descobrir quando um arquivo específico foi criado.

Para esse fim, estou tentando encontrar o fuso horário correto usado no sistema.

O que eu fiz até agora é usar Autopsy para exportar o arquivo do sistema de registro ( \system32\config\system ), já que é onde essa informação é armazenada.

Mas não consigo descobrir como ler esse arquivo. O Regedit não funcionará, pois espera um arquivo .reg. Existe uma maneira de ler o arquivo do sistema de registro?

EDITAR:

Então eu tentei usar o regedit. Mas isso me dá um erro. Erro ao carregar a seção. É tudo o que está dizendo.

    
por user2285451 17.06.2014 / 17:04

1 resposta

0

I have a raw image (.dd) from a Windows (NTFS) partition. I have to find out when a specific file was created.

To that end I am trying to find the correct timezone that is used on the system.

Não deve haver necessidade de determinar o fuso horário configurado, se seu objetivo for simplesmente obter o tempo de criação do arquivo.

O NTFS armazena os registros de data e hora do arquivo em UTC . O UTC , por sua vez, tem a boa propriedade de ser aumentando de forma monótona e conversível em qualquer fuso horário conhecido simplesmente adicionando ou subtraindo o deslocamento de fuso horário para a localização geográfica e política do sujeito no momento (que você precisaria estabelecer por outros meios).

Observe também que qualquer valor de configuração de fuso horário que você extrair do registro quase certamente mostrará o fuso horário atualmente configurado (a partir do momento da imagem de disco), não o fuso horário configurado em a hora em que o arquivo foi criado. A menos que o Windows mantenha algum tipo de histórico de configurações de fuso horário, este último não poderá ser obtido através das instalações do sistema operacional, incluindo escavações profundas no registro.

Apenas apresente o arquivo e informe que os metadados do sistema de arquivos para o arquivo em questão indicam que, quando ele foi criado, o computador relógio em tempo real foi ajustado para tal e tal UTC . Você também pode afirmar que, nesse momento, outras evidências ligam o assunto a um determinado local e apresentam essa evidência separadamente. Isso estabeleceria a localização do sujeito no momento, estabelecendo um fuso horário local razoável para o sujeito no momento, o que permitiria declarar que naquele local naquele horário UTC, o horário local era fulano de tal. / p>

Se o seu papel for simplesmente em análise forense digital, sugiro que você simplesmente apresente a hora UTC conforme registrado nos metadados do sistema de arquivos e permita que outra pessoa faça alguma interpretação.

Observe, no entanto, que qualquer advogado competente provavelmente indicaria rapidamente que os registros de data e hora dos metadados do sistema de arquivos não indicam que a ação de arquivo indicada tenha ocorrido naquele momento específico do mundo real. O relógio de tempo real do computador poderia ter sido configurado para literalmente qualquer valor dentro de seu intervalo válido no momento em que a ação de arquivo ocorresse, e esse valor arbitrário seria registrado nos metadados do sistema de arquivos.

    
por 17.06.2014 / 19:23

Tags

Como posso configurar o Windows Server para ativar a LAN? Resultados ruins de sites de verificação de porta