軟件介紹
??Registry Recon官方版是一款非常不錯的注冊表分析工具,Registry Recon官方版界面簡潔,功能強大,可以對電腦注冊表數據進行深入分析,為用戶提供一些注冊表數據,使用起來簡單便捷。
軟件特色
??1、直觀,高效的工作流程
??2、Windows注冊管理機構的復活早已被遺忘
??3、訪問大量已刪除的注冊表數據
??4、默認以歷史方式顯示的唯一鍵和值
??5、無縫訪問所有鍵和值實例
??6、Windows還原點和卷影復制支持
??7、Registry Recon官方版能夠在特定時間點查看鍵(及其值)??
功能介紹
??1、活動記憶
??從Windows XP,Vista,7,8 / 8.1和10個休眠文件重建活動內存
??2、休眠松弛
??只有適當支持提取多種類型和級別的休眠松弛的工具
??3、NTFS元數據
??自動恢復有價值的NTFS元數據
??4、完成安裝
??在Windows上將磁盤映像和虛擬機的內容裝載為完整或“真實”磁盤
??5、法醫特征
??臨時寫支持,假磁盤簽名,CLI版本等
??6、卷影副本
??在磁盤映像中快速安裝所有卷影副本(VSC)
??7、一鍵式收獲
??從法醫圖像中高效收集活動,備份甚至刪除的Windows注冊表配置單元
??8、注冊表重建
??不僅可以自動重建活動注冊表,還可以自動重建以前Windows安裝中的注冊表
??9、偵察視圖
??利用大量注冊表信息的強大功能,了解注冊管理機構如何隨著時間的推移而發生變化??
常見問題
??1、如果注冊表被覆蓋,它是否可以重新啟用注冊表?
??重要的是要記住,在計算機取證的背景下,“刪除”和“覆蓋”是兩個非常不同的東西。Registry Recon通常非常成功地重建已刪除且僅存在于未分配(已刪除)空間中的注冊表。但是,如果注冊表已被覆蓋,則它不能重建注冊表 - 例如,如果已使用數據清理工具覆蓋未分配的空間。
??2、可以在Registry Recon中添加哪些證據?
??Registry Recon支持在EnCase(E01)和原始(dd)格式,VHD磁盤映像,物理安裝的從驅動器以及目錄內容中添加取證映像作為證據。
??3、我在向Registry Recon添加證據時遇到了麻煩,出了什么問題?
??某些計算機取證應用程序可能會干擾物理驅動器作為Registry Recon的證據添加,因此Arsenal建議在添加證據時不要使用它們。
??4、什么是Microsoft Windows注冊表?
??Registry是一個復雜的生態系統,采用數據庫形式,包含與運行Microsoft Windows的計算機系統上的硬件,軟件和用戶相關的信息。在最基本的層面上,注冊表由“鍵”和“值”組成,它們在某些方面與文件夾和文件類似。對此信息的分析揭示了最近訪問過的文件的名稱,上次運行應用程序的時間,連接可移動存儲設備的人員等等。在Windows操作期間不斷引用注冊表,因此可以始終在磁盤和實時內存中找到大量的注冊表數據。
百度_baidu.com
百家號_baijiahao.baidu.com
