在 Windows 注册表中是否有任何类型的日期跟踪已完成或可查看,例如查看创建 X 键或修改 Y 键的日期,类似于文件系统跟踪的方式?
我正在尝试查找在某些日期范围内对注册表的特定区域所做的更改,如果有一种方法可以处理日期数据,那就太好了。
AskOverflow.Dev
在 Windows 注册表中是否有任何类型的日期跟踪已完成或可查看,例如查看创建 X 键或修改 Y 键的日期,类似于文件系统跟踪的方式?
我正在尝试查找在某些日期范围内对注册表的特定区域所做的更改,如果有一种方法可以处理日期数据,那就太好了。
注册表项具有最后修改的时间戳。您可以使用 Regedit 导出密钥,选择“.txt”输出格式。该文本文件将包含最后修改的日期和时间。
NirSoft 的 RegScanner 实用程序允许通过最后修改时间戳的范围过滤选定的注册表项。
网上有许多与取证相关的脚本可以帮助实现这一目标。如果您知道密钥并且数量合理,您还可以将它们导出到注册表编辑器中的 .txt 文件。LastWrite 日期/时间将在那里。