Как узнать дату установки операционной системы Windows без реестра или командной строки?

tag-icon tag-icon windows windows-xp windows-installation forensics
Как узнать дату установки операционной системы Windows без реестра или командной строки?

Я просматриваю файлы дампа компьютера с Windows XP. У меня нет доступа к реестру, только все файлы с самого компьютера. Я хочу выяснить, когда была установлена ​​операционная система, но большинство ответов в сети говорят, что нужно либо посмотреть в реестре, либо использовать команду systeminfoдля ее поиска (и systeminfo.exeпрограмма, очевидно, не запускается, потому что у нее нет реестра для проверки некоторых его частей).

Так есть ли способ узнать дату установки Windows без доступа к реестру?Какой файл systeminfoпроверяется для получения этой информации? Или используется реестр?

решение1

Если у вас есть резервная копия папки Windows с вашего неисправного компьютера, то у вас есть все, что нужно.

Вы можете загрузить реестр мертвого ПК в редактор реестра. После этого вы можете посмотреть в разделе

HKEY_LOCAL_MACHINE\<deadRegistry>\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate

Шаг за шагом

  1. Откройте редактор реестра ( Win+ R» regedit.exe)
  2. Выберите HKEY_LOCAL_MACHINE
    (Как ни странно, этот шаг необходим. В противном случаеФайл » Загрузить куст(неактивен)
  3. В строке меню нажмитеФайл » Загрузить куст...

  4. Перейдите и откройте

    <your Windows backup>\Windows\system32\config\SOFTWARE

    SOFTWAREэто файл, который нам нужен в нашем случае, так как он содержит дату установки. Но есть и другие файлы, которые содержат другие части вашего мертвого реестра

  5. Новый ключ будет создан под вашим ключом HKEY_LOCAL_MACHINE. Дайте ему осмысленное имя, напримерУлей мертвого программного обеспечения для ПК

    введите описание изображения здесь

  6. Теперь вы сможете перейти на страницу

    HKEY_LOCAL_MACHINE\<Dead PC Software Hive>\SOFTWARE\Microsoft\Windows NT\CurrentVersion

  7. В правой панели вы увидите REG_DWORD с именем InstallDateи его значением. Например, у меня показано 59e074ec. Вы можете преобразовать значение HEX или DEZ с помощьюлюбой онлайн-конвертер в читаемый формат

  8. Не забудьте выгрузить улей, когда закончите. Выберите ключУлей мертвого программного обеспечения для ПКи нажмите наFile » Unload Hive...

Использованные ресурсы

решение2

Средство просмотра событий может пролить свет на этот вопрос, если журналы ведут к установке системы.

В Windows XP это будут файлы .evt, хранящиеся в%SystemRoot%\System32\Config

Вы сможете открыть их в средстве просмотра событий на работающем компьютере Windows, щелкнув правой кнопкой мыши запись «Просмотр событий (локальный)» в верхней части дерева и выбравОткрыть сохраненный журнал...

решение3

Я всегда делал это в XP, переходя в C:\ в Проводнике, щелкая правой кнопкой мыши папку Windows, выбирая «Свойства» и просматривая дату «Создано».

Если вы просматриваете файлы с оригинального установочного жесткого диска (а не с резервной копии, которая могла быть создана позже), то эта информация должна быть точной.

решение4

Перейдите в C:\Windows\Panther\ и посмотрите дату setupact.log или cbs.log!

Это дата и время первоначальной установки Windows.

Связанный контент