Estoy llevando a cabo una investigación forense en una imagen de disco duro del sistema Windows 7. Hasta ahora he revisado el Registro de Windows y he encontrado estas claves:
F:\[root]\Windows\System32\config\SOFTWARE:
Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall
(Contains some of the installed programs but nothing about installation
dates)
F:\[root]\Windows\System32\config\SOFTWARE:
Microsoft\Windows\CurrentVersion\App Paths
(Like the previous key, does not contain installation dates but it does list
some of the installed programs)
Tenga en cuenta que el UserAssist y comdlg32 Las claves no están presentes en el sistema.
¿Dónde más puedo buscar para encontrar información sobre el programa instalado (y la fecha de instalación)?
No has probado: | Tecla de Windows & gt; ¿Programas y características? Si las fechas de "instalado en" no se muestran, todo lo que tiene que hacer es hacer clic derecho en el encabezado de cualquier columna y elegir qué campos mostrar.
—
ejbytes
El único problema es que tengo la imagen del disco duro para investigar, no necesariamente un sistema activo en el que pueda ejecutar comandos.
—
Forensics Investigator
Las claves de registro para "desinstalar", ambas nativas: HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ {PRODUCTCODE} \ y aplicaciones de 32 bits en 64 bits bajo HKLM \ SOFTWARE \ wow6432node \ Microsoft \ Windows \ CurrentVersion \ Uninstall \ {PRODUCTCODE} \ normalmente tiene un valor reg_sz InstallDate. Para aplicaciones basadas en MSI, debe encontrar en C: \ Windows \ Installer una copia del archivo MSI de la aplicación. ¿Las marcas de tiempo de eso podrían ayudar?
—
HelpingHand
Revisé las llaves dentro de ambos lugares. Desafortunadamente, no había claves que contengan valores de fecha de instalación.
—
Forensics Investigator