注册表文件取证练习时获取本机hive的正确姿势

学习注册表取证过程中,忍不住会用本机的注册表文件来尝试。

以RegRipper为例,对C:\windows\system32\config目录下的SECURITY等文件进行操作时,总是弹出“目标文件正在使用”之类的提示,无法解锁这些文件。

此时只需要额外保存这些文件就可以了。例如下图


就把SECURITY这个hive保存下来了。

然后,试试,果然成功。


©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容