我使用 Microsoft 管理控制台创建了一个组策略对象,以限制非管理员执行某些操作(访问控制面板、运行 regedit 等)。最近,我发现其中一些限制已被删除。
在调查这个问题时,我发现 ntuser.pol(保存用户组策略信息的文件)仍然反映了正确的设置,但它对应的注册表配置单元文件 ntuser.dat 没有反映。
我相信 ntuser.dat.log1 和 ntuser.dat.log2 文件可能包含有关什么进程更改了 ntuser.dat 以及何时更改的信息。不幸的是,这些文件是二进制格式,我找不到阅读器。我想知道实际上是否有这些类型的文件的阅读器,或者这些文件是否可以以其他方式用于对 ntuser.dat 更改的取证分析?