Registry Recon v2.2.2

Tags： Registry Recon Registry Recon 系统 恢复

Registry Recon 是一款功能强大的注册表分析工具，它帮助用户对计算机上的注册表数据进行深入分析，并提供详尽的注册表信息。另外该软件能够自动重建活动注册表，满足特定需求的朋友可以下载使用。

软件亮点

直观高效的操作界面：Registry Recon 提供直观、高效的界面，使用户能够轻松进行注册表分析。

Windows 注册表监控机构的重建：尽管 Windows 注册表监控机构已被弃用，但 Registry Recon 仍能提供重建功能。

浏览大量已删除的注册表数据：软件允许用户查看已删除的注册表数据，以便进行更深入的分析。

默认以历史方法显示唯一键值：软件默认以历史方法显示信息的唯一键值，方便用户跟踪数据变化。

无缝浏览所有键值案例：用户可以无缝浏览所有键值案例，以获取更全面的注册表信息。

Windows 还原点和卷影副本支持：Registry Recon 支持使用 Windows 还原点和卷影副本进行数据恢复。

在特定时间点查询键（及其值）：用户可以在特定时间点查询键及其值，以便获取更精确的数据。

软件功能

活动内存重建：从 Windows XP、Vista、7、8/8.1 和 10 的休眠文件中重建活动内存。

休眠状态松弛：Registry Recon 提供多种工具，用于获取各种类型和等级的休眠状态松弛。

NTFS 数据库自动修复：软件能够自动修复有价值的 NTFS 数据库。

安装与装载：在 Windows 上安装和装载磁盘印象以及 VM 虚拟机的内容，以进行详细分析。

法医鉴定特性：Registry Recon 提供临时写支持、假磁盘签名、CLI 版本号等法医鉴定特性。

卷影副本：在磁盘印象中快速安装所有卷影副本 (VSC)。

一键式获取：高效搜集活动、备份数据，甚至删除的 Windows 注册表配置模块。

注册表重建：Registry Recon 不仅能自动重建活动注册表，还能自动重建之前 Windows 安装中的注册表。

侦查主视图：利用强大的注册表信息功能，深入了解注册表监控机构随时间的变化。

如何使用 Registry Recon

下载并安装 Registry Recon。

打开软件并根据需要选择相应的功能。

根据软件提示，添加证据文件或磁盘印象。

使用软件提供的工具和功能进行注册表分析。

根据分析结果，进行进一步的调查或数据恢复。

软件问答

如果注册表被覆盖，能否再次开启注册表？ 在计算机取证的情况下，"删除"和"覆盖"是两个完全不同的概念。Registry Recon 通常能够成功重建已删除且仅存于未分配（已删除）空间中的注册表。但是如果注册表已被覆盖，则无法重建注册表。例如如果已使用数据清理软件覆盖未分配空间。

在 Registry Recon 中可以添加哪些证据？ Registry Recon 支持在 EnCase (E01) 和原始 (dd) 文件格式、VHD 磁盘印象、物理安装的控制器以及目录内容中添加取证印象作为证据。

我在向 Registry Recon 添加证据时遇到了不便，出了什么问题？ 一些计算机取证应用软件可能会影响物理控制器作为 Registry Recon 的证据添加。所以Arsenal 建议在添加证据时不要使用这些软件。

什么是 Microsoft Windows 注册表？ 注册表是一个复杂的生态系统，采用数据库查询方式，包括与运行 Microsoft Windows 的计算机软件上的硬件、软件和客户相关的信息。在最基本的层面上，注册表由 "键" 和 "值" 组成，它们在某些方面与文件夹名称和文档类似。对此信息的分析揭示了最近浏览过的文档名称、之前运行应用程序的时间、连接可移动存储设备的人员等。在 Windows 操作期间持续引入注册表，所以始终可以在磁盘和即时运行内存中找到大量的注册表数据。