Registry Recon是一款便捷好用的注冊(cè)表分析工具。Registry Recon界面清爽簡約，功能強(qiáng)大好用，可對(duì)電腦注冊(cè)表數(shù)據(jù)進(jìn)行深入的分析，以便用戶提供一些數(shù)據(jù)表的數(shù)據(jù)。

【基本介紹】

Registry是一個(gè)復(fù)雜的生態(tài)系統(tǒng)，采用數(shù)據(jù)庫形式，包含與運(yùn)行Microsoft Windows的計(jì)算機(jī)系統(tǒng)上的硬件，軟件和用戶相關(guān)的信息。在最基本的層面上，注冊(cè)表由“鍵”和“值”組成，它們?cè)谀承┓矫媾c文件夾和文件類似。對(duì)此信息的分析揭示了最近訪問過的文件的名稱，上次運(yùn)行應(yīng)用程序的時(shí)間，連接可移動(dòng)存儲(chǔ)設(shè)備的人員等等。在Windows操作期間不斷引用注冊(cè)表，因此可以始終在磁盤和實(shí)時(shí)內(nèi)存中找到大量的注冊(cè)表數(shù)據(jù)。

【軟件特點(diǎn)】

1、直觀，高效的工作流程
2、Windows注冊(cè)管理機(jī)構(gòu)的復(fù)活早已被遺忘
3、訪問大量已刪除的注冊(cè)表數(shù)據(jù)
4、默認(rèn)以歷史方式顯示的唯一鍵和值
5、無縫訪問所有鍵和值實(shí)例
6、Windows還原點(diǎn)和卷影復(fù)制支持
7、能夠在特定時(shí)間點(diǎn)查看鍵(及其值)

【軟件功能】

1、活動(dòng)記憶
從Windows XP，Vista，7,8 / 8.1和10個(gè)休眠文件重建活動(dòng)內(nèi)存2、休眠松弛
只有適當(dāng)支持提取多種類型和級(jí)別的休眠松弛的工具3、NTFS元數(shù)據(jù)
自動(dòng)恢復(fù)有價(jià)值的NTFS元數(shù)據(jù)
4、完成安裝
在Windows上將磁盤映像和虛擬機(jī)的內(nèi)容裝載為完整或“真實(shí)”磁盤5、法醫(yī)特征
臨時(shí)寫支持，假磁盤簽名，CLI版本等
6、卷影副本
在磁盤映像中快速安裝所有卷影副本(VSC)
7、一鍵式收獲
從法醫(yī)圖像中高效收集活動(dòng)，備份甚至刪除的Windows注冊(cè)表配置單元8、注冊(cè)表重建
不僅可以自動(dòng)重建活動(dòng)注冊(cè)表，還可以自動(dòng)重建以前Windows安裝中的注冊(cè)表9、偵察視圖
利用大量注冊(cè)表信息的強(qiáng)大功能，了解注冊(cè)管理機(jī)構(gòu)如何隨著時(shí)間的推移而發(fā)生變化

【常見問題】

1、如果注冊(cè)表被覆蓋，它是否可以重新啟用注冊(cè)表?
重要的是要記住，在計(jì)算機(jī)取證的背景下，“刪除”和“覆蓋”是兩個(gè)非常不同的東西。Registry Recon通常非常成功地重建已刪除且僅存在于未分配(已刪除)空間中的注冊(cè)表。但是，如果注冊(cè)表已被覆蓋，則它不能重建注冊(cè)表 - 例如，如果已使用數(shù)據(jù)清理工具覆蓋未分配的空間。
2、可以在Registry Recon中添加哪些證據(jù)?
Registry Recon支持在EnCase(E01)和原始(dd)格式，VHD磁盤映像，物理安裝的從驅(qū)動(dòng)器以及目錄內(nèi)容中添加取證映像作為證據(jù)。
3、我在向Registry Recon添加證據(jù)時(shí)遇到了麻煩，出了什么問題?
某些計(jì)算機(jī)取證應(yīng)用程序可能會(huì)干擾物理驅(qū)動(dòng)器作為Registry Recon的證據(jù)添加，因此Arsenal建議在添加證據(jù)時(shí)不要使用它們。
4、什么是Microsoft Windows注冊(cè)表?