锁定文件支持已添加到AmcacheParser、AppCompatCacheParser、MFTECmd、ShellBags Explorer（和SBECmd）以及Registry Explorer（和RECmd）

这对您意味着什么？

更多数据访问，更快速度！

这项功能允许您做什么？实现更多自动化，并利用这些工具进行更主动的威胁狩猎，因为它们现在可以在实时系统上运行，与在事后取证收集环境中的表现完全一致。

直到今天，人们期望我的程序不必处理"正在使用"或被其他应用程序打开的文件。这通常是可以接受的，但在进行研究和实时响应任务时，这种情况变得越来越令人头疼。

让我们看看新版本中的一些示例。

这里我们看到过去以非管理员身份运行工具时的情景：

![非管理员运行示例]

但现在，以管理员身份执行时，我们看到的情况大不相同（请忽略这里的版本号，因为我尚未更新它）：

![管理员运行示例]

想要在所有运行中的计算机上每30分钟转储Amcache.hve，并将CSV推送到中央位置进行处理和堆叠？没问题！

![自动化示例]

ShellBags Explorer一直允许您加载实时注册表（基于当前登录用户），但直到现在的缺点是，最后写入时间戳不可用（因为.Net注册表类不公开它们）。

当加载离线配置单元时，您确实获得了时间戳，因为它使用了我的解析器。

因此，在这个版本的SBE中，如果您在没有管理员权限的情况下加载活动注册表，您将看到一如既往的情况，即首次和最后交互时间戳不可用。您还会收到如下警告：

![非管理员警告]

但是，如果您以管理员身份运行SBE，然后加载实时注册表（比如您自己的，或者更好的是，在攻击者的机器上），您现在可以获得首次和最后交互时间戳！

![管理员时间戳显示]

这是完全自动的，SBE还会考虑并处理任何事务日志。

如果您在这里加载一个正在使用的配置单元，Registry Explorer将通过打开配置单元并重放任何需要的事务日志来处理它，然后在界面中显示。没有显示向导来选择日志或保存更新的配置单元等。

以下是一个正在使用的Amcache和NTUSER.DAT配置单元加载并准备就绪的示例！

![Registry Explorer示例]

还要注意（在右下角显示），状态消息将反映Registry Explorer采取的操作。

RECmd也没有被忽略，它也得到了改进，当搜索整个磁盘或挂载映像中的注册表配置单元时，误报少得多。RECmd也能毫无问题地处理锁定文件，如下所示。

![RECmd改进]

享受这些改进，如果您遇到任何问题，或者我错过了更新任何程序以支持锁定文件，请告诉我。