了解如何设置取证工作站以正确检查 Windows 注册表。本模块将介绍注册表文件在 Windows 操作系统中的位置，以及许多可用于查看 Windows 注册表中包含的文件结构和人工制品的免费工具。本模块还包括关于取证软件的安装、正确使用和验证的指导，说明如何充分利用自动化工具，同时保持对工具幕后工作的了解。

本模块演示了对 NTUser.Dat hive 文件中包含的人工制品的深入分析。本模块将向检查人员演示如何查找特定于用户的程序和应用程序、挂载的卷和连接的设备、用户搜索词和键入的 URL。考试人员还将能够定位和识别已打开和保存的文件、键入的 URL、设置为在启动时运行的用户特定程序以及应用程序的安装和执行。考试者将能够定位、检查和解释 MRU 列表（最近使用）、UserAssist、用户系统设置和最近使用的文件。

本模块解释了在 SAM（安全账户管理器）文件中发现的取证工件，该文件存储并整理了系统中每个用户的信息。本模块演示了如何使用相对标识符识别本地计算机上的每个用户账户。考试人员还可以学习解释用户名信息，包括用户的登录日期、时间和登录次数。该模块将演示如何通过解释用户的 SID（机器/域标识符）和恢复用户密码哈希值来识别创建用户帐户的机器。

本模块将向检查人员展示如何查找软件蜂巢文件中包含的与应用程序执行和安装相关的具有取证价值的信息。该模块将概述在软件 hive 文件中发现的取证工件，例如已安装的程序和应用程序、操作系统类型、安装日期和时间、无线网络信息、文件关联、域登录信息、最后登录的用户、设置为在启动时运行的程序，以及对连接到系统的 USB 设备的跟踪。

本模块将展示系统蜂巢文件中包含的具有取证价值的证据。本模块将探讨系统 hive 文件，展示如何确定当前控制设置、计算机名称、上次关机日期和时间、崩溃转储设置和位置、启动时运行的服务设置、页面文件设置、预取设置、上次访问文件时间设置、AppCompat 高速缓存、BAM（后台活动监视器）以及 USB 设备连接和断开连接的日期和时间。

本模块识别并解释在 UsrClass.dat hive 文件中发现的取证工件。本模块将研究 UsrClass.dat hive 文件。检查员将学习解释 Windows ShellBags，它可跟踪用户特定的压缩文件和文件夹访问和设置，包括日期和时间，甚至是已删除文件夹和可移动媒体上的日期和时间。考试者还将学会解释 MuiCache 子键，其中包括已安装的应用程序。此外，还将学习显示最近访问过的图像文件的 Microsoft Photo App。

本模块将检查 AmCache hive 文件，该文件存储与应用程序执行相关的信息。对 AmCache hive 文件的取证检查将显示以下内容：应用程序的安装、应用程序的首次运行日期和时间、可执行文件的文件路径、应用程序的来源、可执行文件的 SHA-1 哈希值、即插即用连接设备、挂载卷的 GUID 以及系统硬件信息。