注册表HKEY_CURRENT_USER是HKEY_USERS的子项

HKEY_USERS有以下分支
1. .DEFAULT
2. S-1-5-18
3. S-1-5-19
4. S-1-5-19_Classes
5. S-1-5-20
6. S-1-5-20_Classes
7. S-1-5-21当前登录用户SID
8. S-1-5-21当前登录用户SID_Classes

而HKEY_CURRENT_USER在实际的注册表hive文件中是不存在的,它只是系统映射出来的一个项,它对应的是HKEY_USERS的第7分支(当前登录用户SID),也就是说HKEY_CURRENT_USER=HKEY_USERS\当前登录用户SID
所以说HKEY_CURRENT_USER应该是HKEY_USERS的分支,也就是子项

注册表文件对应的注册表分支

SYSTEM:对应的注册表分支为HKEY_LOCAL_MACHINE\SYSTEM,对应的存储文件是\Windows\System32\config\SYSTEM,其作用是存储计算机硬件和系统的信息。

NTUSER.DAT:对应的注册表分支是HKEY_CURRENT_USER,存储在用户目录下,与其他注册表文件是分开的,主要用于存储用户的配置信息。

SAM:分支是HKEY_LOCAL_MACHINE\SAM,存储在C:\Windows\System32\config\SAM文件中,保存了用户的密码信息。

SECURITY:对应的分支HKEY_LOCAL_MACHINE\SECURITY,存储在C:\Windows\System32\config\SECURITY文件中,保存了安全性设置信息。

SOFTWARE:分支是HKEY_LOCAL_MACHINE\SOFTWARE,文件存储在C:\Windows\System32\config\SOFTWARE中,保存安装软件的信息。

转载自:Windows 注册表取证 常用分析项 - PPSUC_Forensics - 博客园 (cnblogs.com)