前言
备份文件.gho中找到机器的注册表
文件夹位置
在 C:\WINDOWS\SYSTEM32\CONFIG 下就是系统的注册表,一般情况下,这里面会有以下几个文件: default 默认注册表文件 SAM 安全账号管理(如果忘记了密码或找回密码其实就是对这个文件的操作) SECURITY 安全方面的注册表设置 software 应用软件注册表 system 系统注册表
对应关系:
system文件对应HKEY_LOCAL_MACHINE\SYSTEM software对应HKEY_LOCAL_MACHINE\SOFTWARE
恢复与查找工具
文件 -> 加载配置单元(选择要加载的相关的注册表的文件) -> 输入一个节点的名称
使用Registry Workshop查找时间线
参考
https://www.3xiazai.com/view/view_54.html