【干货】从windows注册表读取重要信息-----这种技能非常重要，占电子取证的70%

也就是说，当我拿着U盘启动盘，从你电脑里面拷贝了注册表的几个文件，大部分数据就已经到我手中了。一起来感受一下吧。

来源：Unit 6: Windows File Systems and Registry 6.1 Windows File Systems and Registry Windows Registry

使用工具：Access Data Registry Viewer的演示版（demo version）

查看注册表hives, SAM, System, 和ntuser.net文件

注册表hives   Registry Hives文件如下。拖进工具即可。

如何找到这三个文件？C:\Windows\System32\config        也可以通过正规的途径，用FTK Imager从二进制镜像中导出这些注册表文件

SAM hive文件包含用户帐号密码信息

看一看用户列表  下面一个窗口将16进制数据转为人类可读的形式，键的名字，类型和值

每一个都遍历一下，会发现有的帐号是系统内置的，有的是用户创建的

你必须确切的知道，时间信息从字节9 开始，直到16。右键，选择十六进制解释器。会发现时间上面有些出入，这样操作更加精准。所以要记住从哪个字节还是到哪个字节结束。

看一看system文件，系统文件

首先根据Select确认，使用ControlSet001还是002，Current指出是001，那么我们分析的就是ControlSet001

进入ControlSet001，看看计算机名字

非常重要的时区信息。取证时你需要将取证机器和证据的时间设定得同步，这个时间从哪里来？就是从这里来的，跟它设的一致。

装载的设备的记录

USB记录，两个文件夹表示有两个U盘连接过，以及什么时候使用，什么时候拔出。

看一看NTUSER.DAT  你用哪个帐号登录，它就存储哪个帐号的信息

这里查看访问了哪些URL，有时URL需要密码，也会存储在这里，但需要解密