アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

れじたいむ

ひょっとすると、“れじ”ではなく“れぐ”なのかもしれませんが、レジストリキーに保存されている最終更新日時を表示するコマンドラインツール(regtime)を作成されたそうです。

レジストリのタイムスタンプを表示するためのツールを書いた
http://d.hatena.ne.jp/hasegawayosuke/20091208/p1

スクリーンショットを拝見すると、流石というべきか時刻の分解能がミリ秒まで表示されているので、秒数が同じ場合でもどちらのキーが最後に更新されたのかなどを把握しやすくなっているようです。

Twitter では再帰オプションがつかないのかなぁとか呟いていたのですが、よく考えると稼働中環境でないと実行できないコマンドなので、再帰させたいというケースは少ないかもしれませんね。オフラインとかなら普通に EnCase とかで最終更新日時でソートすればいいわけですし...
オプションの -u はコンソールのデフォルトが CP 932 なので、デフォルトでは CP 932 に変換して出力しているけど、-u を指定すると Unicode なまま出力するってことなんですかね?まぁ自分で試せってお話ですね。