Registry Recon 官方版 V2.2.2

　　  Registry Recon官方版是一款非常不错的注册表分析工具，Registry Recon官方版界面简洁，功能强大，可以对电脑注册表数据进行深入分析，为用户提供一些注册表数据，使用起来简单便捷。

软件特色

　　  1、直观，高效的工作流程

　　  2、Windows注册管理机构的复活早已被遗忘

　　  3、访问大量已删除的注册表数据

　　  4、默认以历史方式显示的唯一键和值

　　  5、无缝访问所有键和值实例

　　  6、Windows还原点和卷影复制支持

　　  7、Registry Recon官方版能够在特定时间点查看键（及其值）　  

功能介绍

　　  1、活动记忆

　　  从Windows XP，Vista，7，8 / 8.1和10个休眠文件重建活动内存

　　  2、休眠松弛

　　  只有适当支持提取多种类型和级别的休眠松弛的工具

　　  3、NTFS元数据

　　  自动恢复有价值的NTFS元数据

　　  4、完成安装

　　  在Windows上将磁盘映像和虚拟机的内容装载为完整或“真实”磁盘

　　  5、法医特征

　　  临时写支持，假磁盘签名，CLI版本等

　　  6、卷影副本

　　  在磁盘映像中快速安装所有卷影副本（VSC）

　　  7、一键式收获

　　  从法医图像中高效收集活动，备份甚至删除的Windows注册表配置单元

　　  8、注册表重建

　　  不仅可以自动重建活动注册表，还可以自动重建以前Windows安装中的注册表

　　  9、侦察视图

　　  利用大量注册表信息的强大功能，了解注册管理机构如何随着时间的推移而发生变化　  

常见问题

　　  1、如果注册表被覆盖，它是否可以重新启用注册表？

　　  重要的是要记住，在计算机取证的背景下，“删除”和“覆盖”是两个非常不同的东西。Registry Recon通常非常成功地重建已删除且仅存在于未分配（已删除）空间中的注册表。但是，如果注册表已被覆盖，则它不能重建注册表 - 例如，如果已使用数据清理工具覆盖未分配的空间。

　　  2、可以在Registry Recon中添加哪些证据？

　　  Registry Recon支持在EnCase（E01）和原始（dd）格式，VHD磁盘映像，物理安装的从驱动器以及目录内容中添加取证映像作为证据。

　　  3、我在向Registry Recon添加证据时遇到了麻烦，出了什么问题？

　　  某些计算机取证应用程序可能会干扰物理驱动器作为Registry Recon的证据添加，因此Arsenal建议在添加证据时不要使用它们。

　　  4、什么是Microsoft Windows注册表？

　　  Registry是一个复杂的生态系统，采用数据库形式，包含与运行Microsoft Windows的计算机系统上的硬件，软件和用户相关的信息。在最基本的层面上，注册表由“键”和“值”组成，它们在某些方面与文件夹和文件类似。对此信息的分析揭示了最近访问过的文件的名称，上次运行应用程序的时间，连接可移动存储设备的人员等等。在Windows操作期间不断引用注册表，因此可以始终在磁盘和实时内存中找到大量的注册表数据。