也就是說，當我拿著U盤啟動盤，從你電腦裡面拷貝了登錄檔的幾個檔案，大部分資料就已經到我手中了。一起來感受一下吧。

來源：Unit 6: Windows File Systems and Registry 6.1 Windows File Systems and Registry Windows Registry

使用工具：Access Data Registry Viewer的演示版（demo version）

檢視登錄檔hives, SAM, System, 和ntuser.net檔案

登錄檔hives   Registry Hives檔案如下。拖進工具即可。

如何找到這三個檔案？C:\Windows\System32\config        也可以通過正規的途徑，用FTK Imager從二進位制映象中匯出這些登錄檔檔案

SAM hive檔案包含使用者帳號密碼資訊

看一看使用者列表  下面一個視窗將16進位制資料轉為人類可讀的形式，鍵的名字，型別和值

每一個都遍歷一下，會發現有的帳號是系統內建的，有的是使用者建立的

你必須確切的知道，時間資訊從位元組9 開始，直到16。右鍵，選擇十六進位制直譯器。會發現時間上面有些出入，這樣操作更加精準。所以要記住從哪個位元組還是到哪個位元組結束。

看一看system檔案，系統檔案

首先根據Select確認，使用ControlSet001還是002，Current指出是001，那麼我們分析的就是ControlSet001

進入ControlSet001，看看計算機名字

非常重要的時區資訊。取證時你需要將取證機器和證據的時間設定得同步，這個時間從哪裡來？就是從這裡來的，跟它設的一致。

裝載的裝置的記錄

USB記錄，兩個資料夾表示有兩個U盤連線過，以及什麼時候使用，什麼時候拔出。

看一看NTUSER.DAT  你用哪個帳號登入，它就儲存哪個帳號的資訊

這裡檢視訪問了哪些URL，有時URL需要密碼，也會儲存在這裡，但需要解密