⑴ Registry Recon官方版是一款非常不错的分析工具,Registry Recon官方版界面简洁,功能强大,可以对电脑注册表数据进行深入分析,为用户提供一些注册表数据,使用起来简单便捷。
⑵ 、直观,高效的工作流程
⑶ 、Windows注册管理机构的复活早已被遗忘
⑷ 、访问大量已删除的注册表数据
⑸ 、默认以历史方式显示的唯一键和值
⑹ 、无缝访问所有键和值实例
⑺ 、Windows还原点和卷影复制支持
⑻ 、Registry Recon官方版能够在特定时间点查看键(及其值
⑼ 、活动记忆
⑽ 从Windows XP,Vista,, / .和个休眠文件重建活动内存
⑾ 、休眠松弛
⑿ 只有适当支持提取多种类型和级别的休眠松弛的工具
⒀ 、NTFS元数据
⒁ 自动恢复有价值的NTFS元数据
⒂ 、完成安装
⒃ 在Windows上将磁盘映像和虚拟机的内容装载为完整或“真实”磁盘
⒄ 、法医特征
⒅ 临时写支持,假磁盘签名,CLI版本等
⒆ 、卷影副本
⒇ 在磁盘映像中快速安装所有卷影副本(VSC
⒈ 、一键式收获
⒉ 从法医图像中高效收集活动,备份甚至删除的Windows注册表配置单元
⒊ 、注册表重建
⒋ 不仅可以自动重建活动注册表,还可以自动重建以前Windows安装中的注册表
⒌ 、侦察视图
⒍ 利用大量注册表信息的强大功能,了解注册管理机构如何随着时间的推移而发生变化
⒎ 、如果注册表被覆盖,它是否可以重新启用注册表?
⒏ 重要的是要记住,在计算机取证的背景下,“删除”和“覆盖”是两个非常不同的东西。Registry Recon通常非常成功地重建已删除且仅存在于未分配(已删除空间中的注册表。但是,如果注册表已被覆盖,则它不能重建注册表 - 例如,如果已使用数据清理工具覆盖未分配的空间。
⒐ 、可以在Registry Recon中添加哪些证据?
⒑ Registry Recon支持在EnCase(E和原始(dd格式,VHD磁盘映像,物理安装的从驱动器以及目录内容中添加取证映像作为证据。
⒒ 、我在向Registry Recon添加证据时遇到了麻烦,出了什么问题?
⒓ 某些计算机取证应用程序可能会干扰物理驱动器作为Registry Recon的证据添加,因此Arsenal建议在添加证据时不要使用它们。
⒔ 、什么是Microsoft Windows注册表?
⒕ Registry是一个复杂的生态系统,采用数据库形式,包含与运行Microsoft Windows的计算机系统上的硬件,软件和用户相关的信息。在最基本的层面上,注册表由“键”和“值”组成,它们在某些方面与文件夹和文件类似。对此信息的分析揭示了最近访问过的文件的名称,上次运行应用程序的时间,连接可移动存储设备的人员等等。在Windows操作期间不断引用注册表,因此可以始终在磁盘和实时内存中找到大量的注册表数据。