HKEY_USERS有以下分支
1. .DEFAULT
2. S-1-5-18
3. S-1-5-19
4. S-1-5-19_Classes
5. S-1-5-20
6. S-1-5-20_Classes
7. S-1-5-21当前登录用户SID
8. S-1-5-21当前登录用户SID_Classes

而HKEY_CURRENT_USER在实际的注册表hive文件中是不存在的，它只是系统映射出来的一个项，它对应的是HKEY_USERS的第7分支（当前登录用户SID），也就是说HKEY_CURRENT_USER=HKEY_USERS\当前登录用户SID
所以说HKEY_CURRENT_USER应该是HKEY_USERS的分支，也就是子项

SYSTEM：对应的注册表分支为HKEY_LOCAL_MACHINE\SYSTEM，对应的存储文件是\Windows\System32\config\SYSTEM，其作用是存储计算机硬件和系统的信息。

NTUSER.DAT：对应的注册表分支是HKEY_CURRENT_USER，存储在用户目录下，与其他注册表文件是分开的，主要用于存储用户的配置信息。

SAM：分支是HKEY_LOCAL_MACHINE\SAM，存储在C:\Windows\System32\config\SAM文件中，保存了用户的密码信息。

SECURITY：对应的分支HKEY_LOCAL_MACHINE\SECURITY，存储在C:\Windows\System32\config\SECURITY文件中，保存了安全性设置信息。

SOFTWARE：分支是HKEY_LOCAL_MACHINE\SOFTWARE，文件存储在C:\Windows\System32\config\SOFTWARE中，保存安装软件的信息。

转载自：Windows 注册表取证 常用分析项 - PPSUC_Forensics - 博客园 (cnblogs.com)