Adobe Reader是一款非常流行的PDF文档阅读器,因稳定、免费、功能强大而被广泛使用! 目前最新版本为11.0.0.379。Adobe Reader 11(XI)运行后会在多处留下痕迹,其中注册表会记录最近打开的文档完整路径。

在注册表中的具体位置为HKEY_CURRENT_USER Software Adobe Acrobat Reader 11.0 AVGeneral cRecentFiles。该键下最多有5个子键,名称分别为c1、c2、c3、c4、c5,每个子键中包含一条记录,“tDIText”是明文的路径,“sDI”是16进制的文档路径,而对应注册表键的修改时间即是文档打开查看的时间。如图1所示。

Adobe Reader在注册表中的痕迹
图 1 Adobe Reader在注册表中的痕迹

开机状况下查看注册表键最后修改时间最方便的方式是在regedit.exe中右击选中部分,导出为txt格式的文本文件,如图2所示。

将注册表键导出为txt文档查看最后修改时间
图 2 将注册表键导出为txt文档查看最后修改时间

如果是检材是硬盘或硬盘镜像,则可以离线分析注册表文件,使用Windows Registry Recovery(简称WRR,完全免费)等注册表工具解析用户目录下的NTUSER.DAT文件,并定位到Software Adobe Acrobat Reader 11.0 AVGeneral cRecentFiles位置查看即可。如图3所示。需要注意的是计算机中有几个用户就有几个NTUSER.DAT注册表hive文件。

离线查看注册表中的Adobe Reader痕迹
图 3 离线查看注册表中的Adobe Reader痕迹

本文最早于2017年6月6日发布于微信公众号“cnforensics”,微信公众号“电子物证”2017年7月6日授权转载。

标签: Adobe Reader

评论已关闭