Registry Recon-注册表分析工具下载 v2.2.2 免费版

　　Registry Recon是一款非常好用的注册表分析工具，它可以帮助用户对您电脑系统中的所有注册表数据进行分析，并且支持深度分析；电脑系统中的注册表信息可谓是非常多，它来自各个应用、甚至是电脑系统组件，长期以来，注册表取证一直仅限于以不必要的耗时和古老的方式一次仅分析一次易于访问的Windows注册表；而此工具就是针对注册表分析而开发，它可以帮助解析您需要了解的注册标表数据，同时还采用了先进且独特的解析技术，以便于可以重建Windows系统上长期存在的注册表，从而提供有关注册表数据如何随时间变化的独特见解，该程序支持对已被有效删除的大量Registry数据的访问，包括因为不同因素删除的注册表；需要的用可以下载体验

软件功能

　　1、Registry Recon提供多种扫描方式，你可以添加一个Evidence设备执行扫描

　　2、支持从你的电脑硬盘上添加Evidence

　　3、支持从映像添加Evidence，加载设备就可以读取注册表

　　4、软件可以自动分析已经删除的注册表，可以分析未分配空间的注册表

　　5、分析的结果可以在软件显示，可以产科key数据

　　6、支持报告，分析完毕可以生成Recon报告

软件特色

　　1、Registry Recon提供简单的扫描方式，点击ADD加载需要分析的证据

　　2、软件可以自动识别电脑上存在的物理硬盘

　　3、提供简单的视图功能，可以查看重要的注册表历史数据

　　4、支持数据查看，在软件显示register内容

　　6、支持书签，通过书签可以更好显示register

安装步骤

　 1、用户可以点击本网站提供的下载路径下载得到对应的程序安装包

　　2、只需要使用解压功能将压缩包打开，双击主程序即可进行安装，弹出程序安装界面

　　3、同意上述协议条款，然后继续安装应用程序，点击同意按钮即可

　　4、可以根据自己的需要点击浏览按钮将应用程序的安装路径进行更改

　　5、现在准备安装主程序，点击安装按钮开始安装

　　6、弹出应用程序安装进度条加载界面，只需要等待加载完成即可

　　7、根据提示点击安装，弹出程序安装完成界面，点击完成按钮即可

方法

　　1、程序安装完成后，先不要运行程序，打开安装包，然后将文件夹内的文件复制到粘贴板

　　2、然后打开程序安装路径，把复制的文件粘贴到对应的程序文件夹中替换源文件

　　3、完成以上操作步骤后，就可以双击应用程序将其打开，此时您就可以得到对应程序

官方教程

　　1、程序安装完成后，只需要双击应用程序快捷启动键就可以将程序打开，弹出对应加载界面

　　2、等待程序加载完成就可以进入用户界面，整个用户界面非常整洁，功能按钮非常少

　　3、用户可以点击对应的文件按钮，然后点击添加功能按钮就可以选择对应的模块

　　4、用户可以选择磁盘进行分析，例如直接选择界面中的Samsung SSD 860 EVO 250GB ( [PHYSICALDRIVE0)

　　5、您也可以点击图中标注的功能按钮，然后选择选定目录的内容，包括子目录

　　6、在工具栏中，您还可以使用侦查注册表，关键历史，价值数据查看器，书签搜索Ctrl + F，侦查报告，恢复默认布局

　　7、菜单栏中的功能按钮有很多，但都是隐藏在不同的功能模块中，验证Hive配置记录器应用程序设置最近打开

常见问题

　　什么是Microsoft Windows注册表？

　　注册表是数据库形式的复杂生态系统，包含与运行Microsoft Windows的计算机系统上的硬件，软件和用户有关的信息。在最基本的级别上，注册表由“键”和“值”组成，它们在某些方面类似于文件夹和文件。对该信息进行的分析揭示了在应用程序处于持续运行，谁连接了可移动存储设备等等。Windows操作期间会不断引用注册表，因此始终可以在磁盘和活动内存中找到大量注册表数据。

　　什么是侦查注册表和侦查视图？

　　侦察注册表是由注册表侦探重建的所有注册表。Recon View是我们以独特和历史的方式向您显示其中所有值的方法，如果您愿意，可以无缝访问这些值的所有实例。

　　可以向Registry Recon添加哪些证据？

　　Registry Recon支持添加EnCase（E01）和原始（dd）格式的取证图像，VHD磁盘图像，物理安装的从属驱动器以及目录内容作为证据。

　　如果注册表被覆盖，Registry Recon可以复活吗？

　　重要的是要记住，在计算机取证的上下文中，“删除”和“覆盖”是两个非常不同的事物。Registry Recon通常非常成功地重建已被删除并且仅存在于未分配（已删除）空间中的注册表。注册表侦查无法然而如果注册表已被覆盖，则重新生成注册表；例如，如果数据清理工具已用于覆盖未分配的空间，则重建注册表。

　　如何在离线工作站上许可Registry Recon？

　　如果您希望您的空白工作站正确获得Registry Recon的许可，请：

　　打开Registry Recon并输入获得的许可证代码

　　意识到没有可用的Internet连接后，Registry Recon会将一个“ .LIC”文件保存到您的ProgramData \ ArsenalRecon文件夹中

　　在具有Internet访问权限的工作站上，转到我们的“ 脱机激活” 页面并上传“ .LIC”文件。

　　最后，将收到的CDM文件复制到ProgramData \ ArsenalRecon文件夹中