Registry Recon是一款来自国外的注冊表分析軟件，主要用于对注冊表进行重建、备份和恢复，可无缝访问所有键和值实例，軟件拥有直观高效的工作流程，是您进行注冊表优化的好帮手，需要的朋友快快下载吧！

軟件特色

1、一鍵優化

支持對注冊表進行備份、恢複

2、注冊表重建

一鍵對注冊表進行重建

軟件功能

1、活動記憶

从Windows XP，Vista，7,8 / 8.1和10个休眠文件重建活动内存

2、休眠松弛

只有適當支持提取多種類型和級別的休眠松弛的工具

3、NTFS元數據

自動恢複有價值的NTFS元數據

4、完成安裝

在Windows上將磁盤映像和虛擬機的內容裝載爲完整或“真實”磁盤

5、法醫特征

臨時寫支持，假磁盤簽名，CLI版本等

6、卷影副本

在磁盤映像中快速安裝所有卷影副本(VSC)

7、一鍵式收獲

從法醫圖像中高效收集活動，備份甚至刪除的Windows注冊表配置單元

8、注冊表重建

不僅可以自動重建活動注冊表，還可以自動重建以前Windows安裝中的注冊表

9、偵察視圖

利用大量注冊表信息的強大功能，了解注冊管理機構如何隨著時間的推移而發生變化

Registry Recon安装教程

1、雙擊RegistryRecon_2.3.0.0069.msi文件，彈出歡迎安裝向導界面，點擊next

2、查看许可协议内容，勾选“I accept the terms...”

3、选择安装组件和軟件安装位置，点击next

4、点击install开始安装Registry Recon

5、安裝完成就可以使用了

常見問題

1、如果注冊表被覆蓋，它是否可以重新啓用注冊表?

重要的是要记住，在计算机取证的背景下，“删除”和“覆盖”是两个非常不同的东西。Registry Recon通常非常成功地重建已删除且仅存在于未分配(已删除)空间中的注冊表。但是，如果注冊表已被覆盖，则它不能重建注冊表 - 例如，如果已使用数据清理工具覆盖未分配的空间。

2、可以在Registry Recon中添加哪些证据?

Registry Recon支持在EnCase(E01)和原始(dd)格式，VHD磁盘映像，物理安装的从驱动器以及目录内容中添加取证映像作为证据。

3、我在向Registry Recon添加证据时遇到了麻烦，出了什么问题?

某些计算机取证应用程序可能会干扰物理驱动器作为Registry Recon的证据添加，因此Arsenal建议在添加证据时不要使用它们。

4、什么是Microsoft Windows注冊表?

Registry是一个复杂的生态系统，采用数据库形式，包含与运行Microsoft Windows的计算机系统上的硬件，軟件和用户相关的信息。在最基本的层面上，注冊表由“键”和“值”组成，它们在某些方面与文件夹和文件类似。对此信息的分析揭示了最近访问过的文件的名称，上次运行应用程序的时间，连接可移动存储设备的人员等等。在Windows操作期间不断引用注冊表，因此可以始终在磁盘和实时内存中找到大量的注冊表数据。