Windows的设备名称是可以自定义修改的,而且可以随时修改,一般需要重启后才会生效。通常路由器、部分应用程序(网盘类、视频类、通讯软件类等)会记录这个设备名称。注意和Windows用户名区别!!!-–【蘇小沐】
实验环境
1 查看Windows系统信息
运行框,输入"winver"或者输入"msinfo32"命令。
1.1 运行框输入"winver"命令
快捷键win+R,调出运行框,输入"winver"命令。
1.2 运行框输入"msinfo32"命令
快捷键win+R,调出运行框,输入"msinfo32"命令。
2 注册表信息
2.1 注册表的系统信息位置
注册表路径:计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion。
2.2 系统信息中的版本信息和注册表记录不一致
对比:
未作任何修改的情况下,版本对应不上,系统信息里面显示的是Windows 11 专业工作站版,而注册表显示的是Windows 10 专业工作站版。
【所以在描述一些信息的时候,除非有其它日志等数据证明确实有被修改过,不然我们不能直接就下定义判断信息有被修改过,而是如实描述,发现xxx信息不一致】
【注册表这里还有一个系统安装时间记录,感兴趣的可以深入探索】
3 事件查看器-日志记录事件ID:6011
3.1 事件ID:6011
如果不清楚事件ID,可以根据设备名称来查找,越是特殊的自定义设备名称,越容易定位。
设备名称信息改变:
事件ID:6011表示系统名称发生改变。电子取证分析中如果发现设备名称与现存信息不匹配,就要重点查找这个事件ID,看看是否存在更改记录。
3.2 实验验证
3.2.1 不重启电脑
不重启的事件查看器,无相关日志记录。
修改用户名后,"安全"日志这里记录了很多事件ID,如4672、4627、4624、5739等ID,可以根据这些重点查看相关记录信息。
3.2.2 重启电脑
有事件ID:6011记录,还有很多事件ID记录以及相关连续时间记录,可以继续验证。
4 其它可能存在的位置
以下是可能有其他信息的存储位置。
4.1 凭证管理器
系统信息
4.1 Windows工具
路径(默认隐藏):C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools。
系统配置
公众号回复关键词【Windows日志】自动获取资源合集。
书写片面,纯粹做个记录,有错漏之处欢迎指正!
【声明:欢迎转发收藏,个人创作不易,喜欢记得点点赞!!!转载引用请注明出处,著作所有权归 [蘇小沐] 所有】
【注:共享资源收集于官网或互联网公开材料,仅供学习研究,如有侵权请联系删除,谢谢!】
END
往期精彩回顾
关注我,了解更多取证知识,记得点赞+在看!’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)
’ fill=‘%23FFFFFF’%3E%3Crect x=‘249’ y=‘126’ width=‘1’ height=‘1’%3E%3C/rect%3E%3C/g%3E%3C/g%3E%3C/svg%3E)
本文转自 https://mp.weixin.qq.com/s/68GBAa25Do03mFUzIUhTrQ,如有侵权,请联系删除。