При расследовании компьютерных инцидентов, время от времени, возникает необходимость восстановления удаленных записей из файлов системного реестра. И тут возникает два варианта развития событий:
- Необходимо восстановить записи из существующих файлов системного реестра (т.е. записи системного реестра текущей операционной системы);
- Необходимо восстановить записи системного реестра из предыдущей операционной системы.
Eric Zimmerman's tools), которая в удобном графическом интерфейсе отображает удаленные записи (утилита в автоматическом режиме восстанавливает удаленные записи, при открытии необходимого файла системного реестра):
Кроме указанной выше утилиты, для восстановления удаленных записей из существующих файлов системного реестра, можно использовать Python-скрипт yarp-print (msuhanov/yarp) с параметром --deleted и далее указывает полный путь до файла, из которого необходимо восстановить удаленные записи:
Однако, бывают случаи, когда необходимо узнать какая система была установлена на накопителе и что в ней происходило до того как установили текущую, а для этого требуется восстановить старые файлы системного реестра. К сожалению, "универсальные" программы для восстановления удаленных файлов (R-Studio, PhotoRec и т.д.) не всегда корректно восстанавливают содержимое файлов системного реестра и поэтому для этой цели рекомендую воспользоваться Python-скриптом yarp-carver с параметром --rebuild-margin. Далее следует указать полный путь к образу диска, с которого требуется восстановить файлы системного реестра, а также каталог, в который будет записываться результат:
Последнее редактирование модератором: