Jak otworzyć surowy plik rejestru (pobrany z innego komputera)?

Pracuję nad sprawą cyfrowego dochodzenia (oczywiście nie rzeczywistą) i mam surowy obraz (.dd) z partycji Windows (NTFS). Muszę dowiedzieć się, kiedy utworzono konkretny plik.

W tym celu próbuję znaleźć właściwą strefę czasową, która jest używana w systemie.

Do tej pory korzystałem z autopsji, aby wyeksportować plik systemowy rejestru ( \system32\config\system), ponieważ tam jest przechowywana ta informacja.

Ale nie mogę wymyślić, jak odczytać ten plik. Regedit nie będzie działać, ponieważ oczekuje pliku .reg. Czy istnieje sposób na odczytanie pliku systemowego rejestru?

EDYTOWAĆ:

Więc spróbowałem użyć regedit. Ale dał mi błąd. Błąd podczas ładowania gałęzi. To wszystko mówi.

Mam surowy obraz (.dd) z partycji Windows (NTFS). Muszę dowiedzieć się, kiedy utworzono konkretny plik.

W tym celu próbuję znaleźć właściwą strefę czasową, która jest używana w systemie.

Nie powinno być potrzeby określania skonfigurowanej strefy czasowej, jeśli Twoim celem jest po prostu uzyskanie czasu utworzenia pliku.

NTFS przechowuje znaczniki czasu plików w UTC . Z kolei UTC ma tę fajną właściwość, że monotonicznie zwiększa się i można ją konwertować na dowolną znaną strefę czasową, po prostu dodając lub odejmując przesunięcie strefy czasowej dla geograficznego i politycznego położenia obiektu w danym czasie (które musielibyście ustalić za pomocą innych środków ).

Należy również pamiętać, że każda wartość konfiguracji strefy czasowej, którą wyodrębnisz z rejestru, prawie na pewno pokaże aktualnie skonfigurowaną (na czas obrazu dysku) strefę czasową, a nie strefę czasową skonfigurowaną w momencie tworzenia pliku. O ile system Windows nie zachowuje historii ustawień stref czasowych, nie można ich uzyskać za pomocą funkcji systemu operacyjnego, w tym głębokiego przeszukiwania rejestru.

Wystarczy przedstawić plik i stwierdzić, że metadane systemu plików dla tego pliku wskazują, że kiedy został utworzony, zegar czasu rzeczywistego komputera był ustawiony na taki a taki UTC . Możesz również stwierdzić, że w tym czasie inne dowody łączą przedmiot z określoną lokalizacją i przedstawiają je osobno. To ustalałoby lokalizację podmiotu w tym czasie, z kolei ustanawiając rozsądną lokalną strefę czasową dla podmiotu w tym czasie, co pozwoliłoby ci stwierdzić, że w tej lokalizacji w czasie UTC czas lokalny był taki a taki.

Jeśli twoja rola jest po prostu w kryminalistyce cyfrowej, proponuję po prostu przedstawić czas UTC zarejestrowany w metadanych systemu plików i pozwolić komuś innemu dokonać jakiejkolwiek interpretacji.

Należy jednak pamiętać, że każdy właściwy prawnik prawdopodobnie szybko zauważyłby, że znaczniki czasu metadanych systemu plików nie oznaczają, że wskazana akcja pliku miała miejsce w tym konkretnym czasie rzeczywistym. Zegar czasu rzeczywistego komputera mógł być ustawiony na dosłownie dowolną wartość w swoim prawidłowym zakresie w czasie, gdy miało miejsce działanie na pliku, a ta dowolna wartość byłaby zapisywana w metadanych systemu plików.