应急响应-GHO提取注册表快照

前言

备份文件.gho中找到机器的注册表

文件夹位置

在 C:\WINDOWS\SYSTEM32\CONFIG 下就是系统的注册表,一般情况下,这里面会有以下几个文件:
default 默认注册表文件
SAM 安全账号管理(如果忘记了密码或找回密码其实就是对这个文件的操作) SECURITY 安全方面的注册表设置
software 应用软件注册表
system 系统注册表

对应关系:

system文件对应HKEY_LOCAL_MACHINE\SYSTEM
software对应HKEY_LOCAL_MACHINE\SOFTWARE

恢复与查找工具

  • 文件 -> 加载配置单元(选择要加载的相关的注册表的文件) -> 输入一个节点的名称

  • 使用Registry Workshop查找时间线

参考

https://www.3xiazai.com/view/view_54.html

posted @ 2019-03-15 15:14  17bdw  阅读(423)  评论(0编辑  收藏  举报