Brendan Dolan-Gavitt beschreibt in einem sehr ausführlichen Beitrag, wie man Registry Hives in Abbildern des Arbeitsspeichers auffindet und interpretiert.
Die Registry von Microsoft Windows besteht aus so genannten Hives. Der Betriebssystemkern greift auf diese Datenstrukturen über den Configuration Manager (CM) zu. Der Beitrag erläutert zwei der hierbei verwendeten Datenstrukturen, nt!_CMHIVE und nt!_HHIVE. Gespeichert werden diese Daten im Paged Pool des Betriebssystems. Brendan Dolan-Gavitt entwickelt eine Signatur, um diese Strukturen in Arbeitsspeicherabbildern zu lokalisieren.
