【Windows取证篇】Windows日志线索分析之设备名称痕迹

Windows的设备名称是可以自定义修改的，而且可以随时修改，一般需要重启后才会生效。通常路由器、部分应用程序（网盘类、视频类、通讯软件类等）会记录这个设备名称。注意和Windows用户名区别！！！\\---【蘇小沐】 ### 实验环境 \| 系统环境 \| \| --- \| \| Windows 11 专业工作站版，\\\[24H2，26100.6584\\\] \| !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTKZZmnvSZZvmdnoxu2oyGsjL1XOZbfV1pfPga6XwYzbgDsG1WiaYOkIzg/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=jpg\&wxfrom=5\&wx_lazy=1#imgIndex=0) !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTKb4AgCcg3hv7dz2hFHX8yhBzLib0Cjv70KWYt35wDgmDJpRAs2woDUeg/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=png\&wxfrom=5\&wx_lazy=1#imgIndex=1) 1 查看Windows系统信息 --------------- 运行框，输入"winver"或者输入"msinfo32"命令。 ### 1.1 运行框输入"winver"命令 快捷键win+R，调出运行框，输入"winver"命令。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTKibGKibkApSSWMto3Dj4pKYJjT7dYk0xwzpSuSxFiaJ5d7QNQQp1O4GatA/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=jpg\&wxfrom=5\&wx_lazy=1#imgIndex=2) !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTK5ibtqOqLCCV3PcPNP1ScInbAg6bia5XkiaodlPRmPuXcMc4luWlD0UMgw/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=jpg\&wxfrom=5\&wx_lazy=1#imgIndex=3) ### 1.2 运行框输入"msinfo32"命令 快捷键win+R，调出运行框，输入"msinfo32"命令。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTKRxBvwIqHeiclN58D2WW5AaokDBYcw7CVWNMtzPz96NEFOibKtibfibfSEw/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=jpg\&wxfrom=5\&wx_lazy=1#imgIndex=4) !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTKrDgG2PqV5VeEy1ltiaJ1g4hAS1Jtm57j2EAYp5SXGxhWd1hbyXzgnbw/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=png\&wxfrom=5\&wx_lazy=1#imgIndex=5) 2 注册表信息 ------- ### 2.1 注册表的系统信息位置 注册表路径：计算机\\\\HKEY\\_LOCAL\\_MACHINE\\\\SOFTWARE\\\\Microsoft\\\\Windows NT\\\\CurrentVersion。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTKnKM0x50D0wVhX0THybDSdwEZKV4qf5tP4ysyqBvJfseqbbTiaPNE7Iw/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=png\&wxfrom=5\&wx_lazy=1#imgIndex=6) ### 2.2 系统信息中的版本信息和注册表记录不一致 对比： 未作任何修改的情况下，版本对应不上，系统信息里面显示的是Windows 11 专业工作站版，而注册表显示的是Windows 10 专业工作站版。 【所以在描述一些信息的时候，除非有其它日志等数据证明确实有被修改过，不然我们不能直接就下定义判断信息有被修改过，而是如实描述，发现xxx信息不一致】 【注册表这里还有一个系统安装时间记录，感兴趣的可以深入探索】 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTKERy8DAhkS46ZcdTuDNnl7dCwwDPjp2aRZsYuG4xPuLbxVrsWw3IM7g/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=jpg\&wxfrom=5\&wx_lazy=1#imgIndex=7) !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTKcHWRXn7zQ3cQQsxUsbFEy3vdPniatHXb3TzXbwO6VoOpvzlXF2DX4Yw/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=jpg\&wxfrom=5\&wx_lazy=1#imgIndex=8) 3 事件查看器-日志记录事件ID：6011 --------------------- ### 3.1 事件ID：6011 如果不清楚事件ID，可以根据设备名称来查找，越是特殊的自定义设备名称，越容易定位。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTK3MUH66wZqqrO64RMs6oT43icb4X0JoNDWHIrUOvVof2QX4fbtic18jpg/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=jpg\&wxfrom=5\&wx_lazy=1#imgIndex=9) 设备名称信息改变： 事件ID：6011表示系统名称发生改变。电子取证分析中如果发现设备名称与现存信息不匹配，就要重点查找这个事件ID，看看是否存在更改记录。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTK9FDIkicVNK6lNQvqRbb5jErtDObOemgCV0WqTXCsURAhYBHibUH5tWlA/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=jpg\&wxfrom=5\&wx_lazy=1#imgIndex=10) ### 3.2 实验验证 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTKQOVtiaLibgtWPcNicQLxnF2aBKQOF6eoq5icYR7HZo9IyZdGVZrBH4nnIg/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=jpg\&wxfrom=5\&wx_lazy=1#imgIndex=11) #### 3.2.1 不重启电脑 不重启的事件查看器，无相关日志记录。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTK2HCeQkn22P95m62lJSQGQtBlHp5nxMLNIUNzz3gUc0ySEAibBq1Avfw/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=jpg\&wxfrom=5\&wx_lazy=1#imgIndex=12) 修改用户名后，"安全"日志这里记录了很多事件ID，如4672、4627、4624、5739等ID，可以根据这些重点查看相关记录信息。 \| 事件ID \| 备注 \| \| --- \| --- \| \| 4672 \| 为新登录分配了特殊权限。 \| \| 4627 \| 组成员身份信息。 \| \| 4624 \| 已成功登录帐户。 \| \| 5379 \| 已读取凭据管理器凭据。 \| !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTKgFFyqiazqWsKZksADCS44EylmiarpowrIKezibYVaSDv6recSpyiciba4BA/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=jpg\&wxfrom=5\&wx_lazy=1#imgIndex=13) #### 3.2.2 重启电脑 有事件ID：6011记录，还有很多事件ID记录以及相关连续时间记录，可以继续验证。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTKK2OZuTuMQHCz3fV0iaeIOgQuUcyfsIibsicFRb2YV5kblFgGLCnwVjYWw/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=jpg\&wxfrom=5\&wx_lazy=1#imgIndex=14) 4 其它可能存在的位置 ----------- 以下是可能有其他信息的存储位置。 ### 4.1 凭证管理器 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTKljh091IJEbLwhiaaSzGcdI9IekdibcGBQMbUOBic5FvBTYOar2ym6Z27A/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=jpg\&wxfrom=5\&wx_lazy=1#imgIndex=15) 系统信息 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTKbAibiaIANwWZSvFdLaXyADlJrvZibScVqxhDkLYnUpwmwETr5CC9Bndhw/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=jpg\&wxfrom=5\&wx_lazy=1#imgIndex=16) ### 4.1 Windows工具 路径（默认隐藏）：C:\\\\ProgramData\\\\Microsoft\\\\Windows\\\\Start Menu\\\\Programs\\\\Administrative Tools。 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTK8BQYlcdQiaC7o8XkWeib15vbdFWtLsOCZWxDAUMVP17cnUhP8KVXgTmw/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=png\&wxfrom=5\&wx_lazy=1#imgIndex=17) #### 系统配置 !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTKXZ6QXiaOB6KG9ibcxwicy8sH3bysUk49Oe3gMVP1jHchpgtNh31PEpaibg/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=png\&wxfrom=5\&wx_lazy=1#imgIndex=18) !\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNyf7tupjbgD6dMV4yv1SWTKtfRnWaJvCSebNmw56IwjPZDiagvQW1z5WxNDVsHiaEC1QFLA8dAIVLZw/640?wx_fmt=png\&from=appmsg\&watermark=1\&tp=png\&wxfrom=5\&wx_lazy=1#imgIndex=19) 公众号回复关键词【Windows日志】自动获取资源合集。 书写片面，纯粹做个记录，有错漏之处欢迎指正！ 【声明：欢迎转发收藏，个人创作不易，喜欢记得点点赞！！！转载引用请注明出处，著作所有权归 \\\[蘇小沐\\\] 所有】 【注：共享资源收集于官网或互联网公开材料，仅供学习研究，如有侵权请联系删除，谢谢！】 |--------------------| | 记录 | | 开始编辑：2025年 09月 28日 | | 最后编辑：2025年 10月 01日 | \*\*END\*\* 往期精彩回顾 \[!\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxLp0ZsMrz3baKzZvUp1ZhZ6qe3RzGTkRG6AVF89dTm1TzEsYk0z0pu0Tm5q9oqaowwibSnmIdsic7A/640?wx_fmt=png\&from=appmsg\&tp=png\&wxfrom=5\&wx_lazy=1#imgIndex=20)\](https://mp.weixin.qq.com/s?__biz=MzI2MTUwNjI4Mw==\&mid=2247487373\&idx=1\&sn=a8d3162564e12558d99e4f30182c205a\&scene=21#wechat_redirect) \[!\[图片\](https://mmbiz.qpic.cn/mmbiz_png/g0qdRkVkqNxIibANmb4oMseQUoC35Spialyawk3DsjwPQ1WUWxVU7kNjab0US7f5ibolic75J6PsDxFrFibbvDcSEkA/640?wx_fmt=png\&from=appmsg\&tp=png\&wxfrom=5\&wx_lazy=1#imgIndex=21)\](https://mp.weixin.qq.com/s?__biz=MzI2MTUwNjI4Mw==\&mid=2247485419\&idx=1\&sn=c68a8c9a4b24a48dbcb12f76618f1ff7\&scene=21#wechat_redirect) 关注我，了解更多取证知识，记得点赞+在看！!\[图片\](data:image/svg+xml,%3C%3Fxml version='1.0' encoding='UTF-8'%3F%3E%3Csvg width='1px' height='1px' viewBox='0 0 1 1' version='1.1' xmlns='http://www.w3.org/2000/svg' xmlns:xlink='http://www.w3.org/1999/xlink'%3E%3Ctitle%3E%3C/title%3E%3Cg stroke='none' stroke-width='1' fill='none' fill-rule='evenodd' fill-opacity='0'%3E%3Cg transform='translate(-249.000000, -126.000000)' fill='%23FFFFFF'%3E%3Crect x='249' y='126' width='1' height='1'%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E) !\[图片\](data:image/svg+xml,%3C%3Fxml version='1.0' encoding='UTF-8'%3F%3E%3Csvg width='1px' height='1px' viewBox='0 0 1 1' version='1.1' xmlns='http://www.w3.org/2000/svg' xmlns:xlink='http://www.w3.org/1999/xlink'%3E%3Ctitle%3E%3C/title%3E%3Cg stroke='none' stroke-width='1' fill='none' fill-rule='evenodd' fill-opacity='0'%3E%3Cg transform='translate(-249.000000, -126.000000)' fill='%23FFFFFF'%3E%3Crect x='249' y='126' width='1' height='1'%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E) 本文转自 ，如有侵权，请联系删除。