Windows-registret ligger på hårddisken och är en av de saker som återställs vid en systemåterställning. Sådant som ligger i RAM-minnet försvinner när datorn stängs av.
Tolkningsfråga (Formulering) Jag läste nämligen motsatsen på en betrodd källa men kan ha fel, för :
Är det inte så att registret existerar i RAMminnet medans själva datan nycklar>härledda nycklar finns på hårddisken?
HKEY_CURRENT_CONFIG (HKCC) är exempel på profil-data som uppstår vid systemstart.
sedan finns det ju uppenbarligen massvis av data som aldrig är gjort för usermode" dvs hive-filer och annat
forensiker utvinner med specialprogram som kan analysera den data som aldrig är tänkt att man ska ha läsrätt till.
Javisst RAM-minnet äro ju ointressant såvida datorn inte är på...
Jag kan tänka mig att många "hackers" som närmast religiöst påtalar styrkan med Truecrypt och paranoida fildelare som tjattrar om hur säääkra deras datorer är med fastlimmade RAM-minnen osv inte tänker på hur många säkerhetskopior av just deras egna register som skapas när man kör med CCleaner osv....(standardprocedur före städning) för att inte tala om windowsregistret egna uppsättning-säkerhetskopiering "RestorePoint" som sparas i 90dagar !