如果查询公司名是否被注册表(怎么查公司名字是否被注册公司)

二、关键键值是否

2.2 查看完整的计算机名，依次展开

“HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlComputerNameComputerName”。如图所示

2.3 查看安注册表装信息，包括注册组织--RegisteredOrganization，注册人--RegisteredOwner，产品名称--ProductNam公司e，安装路径--SystemRoot，版本名称--CurrentVersion，版本号--CurrentBuildNumber，Service Pack版本号--CSDVersion，操作系统安装时间--InstallDate（C/UNIX文件时间格式）。

依次展开“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersion”。名如图所示

1.4 挂载设备列表MountedDevices保存着曾经挂载过的有各自固定卷名和内部标识符的各种设备的列表，这个键也详细列出了所有曾经被分配过盘符的USB闪存盘和外置的D怎么VD/CDROM设备。在被其中，以“DosDevices”开始，以盘符字母结尾的值包含着被挂载过的特殊设备的信息。如果“DosDevicesF”的开始位里有“?? Storage#Remo查veibleMedia公司”表示有一个USB盘插入过计算机的USB端口。依次展开注册表“HKEY_LOCAL_MACHINESYSTEMMountedDevices”。如图所示

1.5 挂载设备列表Volume中按各自的设备GUID（全局唯一标识符）分别在子键中保存着信息。其中的data键值信息更为详尽，包括卷标、分区格式等。依次展开注册表“HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerMountPoints2CPCVolume”，查看某一设备的data键值。如图所示

1.6 USB设备挂载信息，（HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumUSB）保存着USB存储设备的更多信息。

1.7 MRU（Most-Recently-Used）数量众多，包括Office应用都有MRU，如（H怎么KEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerComDlg32OpenSavePidlMRU），这个键保存着Windows的公用对话框历史记录(实验环境没有挂载设备所以没有注册表)。如图所示

思考

“HKEY_CURRENT_USERSoftwareMicrosoftWi注册公司ndowsCurrentVersionExplorerRunMRU”这里的MRU的含义？

三、回收站取证

1、 被删除的信息往往包含着使用者的重要信息，对于被删除文件的恢复，一直是电子数据取证的重要部分。在Windows操作系统中，用户选择删除一个文件后，文件没有真正的删除，而是进入了回收站。通过分析回收站可以知道被删除文件的信息，包括原始路径、删查询除时间和文件大小，可以利用它随时恢复文件

2、回收站目录中，每个删除文件都会设被立一个回收站记录文件，在本实验中，回收站位置为“C:$Recycle.Bin<USER SID>”。在NTFS文件系统中，回收站以SID（安全标识符）来区别不同用户的回收站信息

四、确定用户是否启用回收站

右击回收站图名字标，在快捷菜单中选择“属性”，在“选定位置的设置”中，如果选中了“不将文件移到回收站中。移除文件后立即将其删除”则意味着删除文件不会保存在回收站中，若删除文件时使用“shift delete”组合键同样不会保存删除文件到回收站中。如图所示

五、回收站文件分析

5.1 Windows Server 2008操作系统会为每个被删除文件建立一个删除记录，通过分析每个删除记录，可以了解文件的原始信息。删除文件信息的保存位置为“查询C:$Recycle.Bin<USER SID&查gt;”。查看当前用户SID。如图所示

5.2 进入回收站目录并查看内容。如图所示

5.3 当一个文件被删除时，原始的删除文件被以“$R”作为开头重命名，后面跟着随机生成的字符或数字组合，后缀名与原文件一致。与此同时，生成一个以是否“$I”开头的文件，后缀名及后面的字符或数字组合与“$R”开头的文件相同。以“$I”开头的文件为对应“如果$R”开头如果的文件的回收站记录文件，当回收站被清空时，两个文件会被同时删除注册表。

5.4 “$I”开头的回收站记录文件主要包含以下删除记录信息：被删除文件原始路径、被删除文件大小、被删除文件的删除时间（64位Windows时间）。这些信息都是以名字Unicode编码存储，每个回收站文件的大小都是544字节。

5.5 输入命令“WinHex $I9N8010.exe”（若没有$I9N8010.exe 文件 可以在2.3步骤查看的结果中选一文件查看名），注册公司用WinHex打开一个以“$I”开头的记录文件查看其内部结构。如图所示