文章总结： 本文详细介绍了Windows系统中设备名称痕迹的电子取证分析方法，重点讲解了通过系统信息、注册表和事件查看器追踪设备名称变更的技术。文章指出事件ID6011表示系统名称发生改变，并通过实验验证了设备名称修改后的日志记录情况。作者还提供了其他可能存储设备名称信息的位置，为电子取证分析人员提供了实用的技术参考。 综合评分： 87 文章分类： 应急响应,实战经验,安全工具,数据安全,终端安全

【Windows日志里”设备名称”痕迹分析】

电子物证

2025年12月15日 00:01 辽宁

以下文章来源于DFIR蘇小沐 ，作者蘇小沐

DFIR蘇小沐 .

致力于电子数据取证（数字取证）与事件应急响应实战技术经验分享，计算机取证、手机取证、网络取证与犯罪调查、数据恢复、模糊图像增强、司法鉴定等技术研究【蘇小沐】

来源：DFIR蘇小沐，作者：

实验环境

| 系统环境 | | — | | Windows 11 专业工作站版，[24H2，26100.6584] |

1 查看Windows系统信息

运行框，输入”winver”或者输入”msinfo32″命令。

1.1 运行框输入”winver”命令

快捷键win+R，调出运行框，输入”winver”命令。

1.2 运行框输入”msinfo32″命令

快捷键win+R，调出运行框，输入”msinfo32″命令。

2 注册表信息

2.1 注册表的系统信息位置

注册表路径：计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion。

2.2 系统信息中的版本信息和注册表记录不一致

对比：

未作任何修改的情况下，版本对应不上，系统信息里面显示的是Windows 11 专业工作站版，而注册表显示的是Windows 10 专业工作站版。

【所以在描述一些信息的时候，除非有其它日志等数据证明确实有被修改过，不然我们不能直接就下定义判断信息有被修改过，而是如实描述，发现xxx信息不一致】

【注册表这里还有一个系统安装时间记录，感兴趣的可以深入探索】

3 事件查看器-日志记录事件ID：6011

3.1 事件ID：6011

如果不清楚事件ID，可以根据设备名称来查找，越是特殊的自定义设备名称，越容易定位。

设备名称信息改变：

事件ID：6011表示系统名称发生改变。电子取证分析中如果发现设备名称与现存信息不匹配，就要重点查找这个事件ID，看看是否存在更改记录。

3.2 实验验证

3.2.1 不重启电脑

不重启的事件查看器，无相关日志记录。

修改用户名后，”安全”日志这里记录了很多事件ID，如4672、4627、4624、5739等ID，可以根据这些重点查看相关记录信息。

| 事件ID | 备注 | | — | — | | 4672 | 为新登录分配了特殊权限。 | | 4627 | 组成员身份信息。 | | 4624 | 已成功登录帐户。 | | 5379 | 已读取凭据管理器凭据。 |

3.2.2 重启电脑

有事件ID：6011记录，还有很多事件ID记录以及相关连续时间记录，可以继续验证。

4 其它可能存在的位置

以下是可能有其他信息的存储位置。

4.1 凭证管理器

系统信息

4.1 Windows工具

路径（默认隐藏）：C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Administrative Tools。

系统配置

查看原文：《【Windows日志里”设备名称”痕迹分析】》