Registry Analysis

analyzing-windows-shellbag-artifacts 可帮助 DFIR 分析人员解读 Windows Shellbag 注册表取证痕迹，还原文件夹浏览、已删除文件夹访问、可移动介质使用以及网络共享活动，并结合 SBECmd 和 ShellBags Explorer 进行分析。它是一份面向事件响应与取证工作的实用 analyzing-windows-shellbag-artifacts 指南。

analyzing-usb-device-connection-history 可帮助在 Windows 上结合注册表 hive、事件日志和 setupapi.dev.log 调查 USB 设备连接历史，适用于数字取证、内部威胁排查和事件响应。它支持时间线重建、设备关联以及可移动介质证据分析。