He creado una imagen de disco duro usando el generador de imágenes FTK. Quiero extraer los registros de eventos de Windows. El sistema ejecutaba Windows 7. ¿Qué debo hacer?
Los registros de eventos de Windows se almacenan en las siguientes ubicaciones de forma predeterminada:
2000, XP y 2003
C:\Windows\system32\config
Vista+
C:\Windows\system32\winevt\logs
Plantillas de mensajes de parámetros y eventos
Las plantillas de mensaje de evento y parámetro específicas para cada tipo de registro se almacenan en DLL (de modo que puede interpretar los mensajes y parámetros en contexto para cada registro) y su ubicación se almacena en la clave del registro de eventos en el Registro , ubicada en:
HKLM\SYSTEM\CurrentControlSet\services\Eventlog
También puede utilizar esta clave para validar que los registros de eventos se están almacenando en su ubicación predeterminada, ya que un administrador puede cambiar esto (dichos cambios se reflejarán en esta ruta secundaria de claves).
Registros de Evt "sucios"
Al copiar registros de eventos de un sistema en vivo, para los registros más antiguos de *.evt (2000, XP y 2003), tienen un byte de estado de archivo que a veces puede evitar la lectura de los registros en visores estándar cuando es un valor impar. . La reparación de los registros está bien documentada , y solía haber una herramienta llamada fixevt.exe que lo hizo más fácil pero no conozco una fuente de descarga confiable, así que le dejo este ejercicio al lector para que lo encuentre ( el sitio donde se usó para ser localizado indica que la cuenta del proveedor de alojamiento se suspendió).
Ir al inicio tipo cmd Escriba regedit en el cuadro abierto y haga clic en entrar Localiza y haz clic en la siguiente clave de registro: HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ Eventlog Haga clic en la subclave que representa el registro de eventos que desea mover, por ejemplo, haga clic en Aplicación. En el panel derecho, haga doble clic en Archivo. Escriba la ruta completa a la nueva ubicación (incluido el nombre del archivo de registro) en el cuadro Información del valor y luego haga clic en entrar.
Por ejemplo, si desea mover el registro de la aplicación (Appevent.evt) a la carpeta Eventlogs en la unidad E, escriba e: \ eventlogs \ appevent.evt. Repita los pasos 4 a 6 para cada archivo de registro que desee mover. Haga clic en Salir en el menú Registro. Reinicia la computadora.
Lea otras preguntas en las etiquetas forensics windows investigation