如何从硬盘法医学图像中提取windows事件日志？

Question

我已经创建了一个图像硬盘使用FTK成像仪。我想提取windows事件日志。系统运行的是windows 7，我该怎么办？

Answer 1

默认情况下，Windows事件日志存储在以下位置：

2000、XP和2003年

C:\Windows\system32\config

Vista+

C:\Windows\system32\winevt\logs

事件和参数消息模板

特定于每种类型日志的事件和参数消息模板都存储在DLL中(因此您可以在每个日志的上下文中解释消息和参数)，它们的位置存储在注册表中的Eventlog密钥注册表中的Eventlog密钥中，位于：

HKLM\SYSTEM\CurrentControlSet\services\Eventlog

您还可以使用此键验证事件日志是否存储在其默认位置，因为管理员可以更改此位置(此类更改将反映在此键子路径中)。

“脏”evt日志

在从活动系统复制事件日志时，对于较旧的*.evt日志(2000、XP和2003)，它们有一个文件状态字节，有时可以防止在标准查看器中读取奇数值时的日志。修复日志有很好的文档记录，以前有一个名为fixevt.exe的工具，它使这更容易，但是我不知道可靠的下载源，所以我将这个练习留给读者去寻找(它以前所在的地点表示托管提供商帐户被挂起)。

Answer 2

转到“开始”，在“打开”框中键入cmd类型，然后单击“输入、定位并单击以下注册表项”：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Eventlog单击表示要移动的事件日志的子项，例如，单击“应用程序”。在右侧窗格中，双击“文件”。在“值数据”框中键入到达新位置的完整路径(包括日志文件名)，然后单击“输入”。

例如，如果要将应用程序日志(Appevent.evt)移动到E驱动器上的Eventlog文件夹，请键入e:\eventlogs\appevent.evt。对要移动的每个日志文件重复步骤4至6。单击注册表菜单上的“退出”。重新启动电脑。