Regdmp
Вы можете рассматривать системный реестр как большое единое средство регистрации, потому что он содержит всю информацию о конкретной инсталляции Windows и других установленных программах. Эта информация может быть полезна для расследования, и дать дополнительные намеки:
- несколько последних адресов, по которым машина связывалась с клиентом telnet;
- несколько последних использовавшихся документов каждой программы;
- исполняемые файлы, запускающиеся в момент загрузки машины (обычно программы типа "троянских коней" изменяют системный реестр).
Системный реестр хранится в закрытом (являющемся предметом собственности) формате на жестком диске, и его трудно отыскать, когда система не выполняется, или пока не будут применены коммерческие инструментальные средства, предназначенные для судебного расследования. Однако вы можете использовать инструмент Regdmp, чтобы сделать дамп содержимого системного реестра в удобочитаемой форме. Инструмент Regdmp поставляется с комплектом ресурсов Windows NT и 2000.
