Одна из первоочередных задач компьютерно-технической экспертизы это определение операционной системы, её версии, модификации, build.
Зная версию ОС Вы сможете подготовить план действий для изучения артефактов, так как в разных версиях есть отличия - разные функции, ID event logs, ключи реестра и.т.п.Мы с Вами рассмотрим ОС из семейства microsoft - windows 10 (
Ссылка скрыта от гостей
)Текущая версия системы, номер сборки находятся в значении параметра CurrentBuildNumber, который физически хранится в:
путь ->
c:\Windows\System32\config\файл ->
SOFTWAREреестр ->
Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
1. В работающей системе мы можем увидеть это:Вызовом команды -> "Win+R"->"WinVer"press(Enter)
2. Вызовом команды -> "Win+R"->"regedit"press(Enter) и перейти в куст реестра
"Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion"
3. Так же мы можем любым удобным способом зная нахождение данных о версии получить их из самого физического файла "SOFTWARE"
4. Ещё характерными признаками являются размеры разделов операционных систем windows, различия появились начиная с Windows 7
Windows 7 - [100 Mb]
Windows 8 - [350 Mb]
Windows 8.1 - [400 Mb] [300 Mb] [128 Mb]
Windows 8.1 update Windows 10 может содержать - [400 Mb] [300 Mb] [500 Mb]
Windows 10 - [500 Mb] [100 Mb]
на картинке ниже визуально всё видно
Что делать если мы не предполагаем какая там операционная система?
Мы с Вами знаем что интересующие нас данные находятся в параметре CurrentBuildNumber и рядом с этими значениями находятся и остальные данные,
мы можем искать в самом файле "SOFTWARE", можем внедрить к себе физические данные из файла реестра и искать уже у себя в рабочей системе
P:S
Данная статья будет дополняться и получать не значительные правки to by continued...
Последнее редактирование:
