Push the Red Button: Enumerating Registry Hives
Push the Red Button: Challenges in Carving Registry Hives from Memory

Andreas Schusterさんのブログ経由。メモリイメージからレジストリハイブを見つける方法について、詳細に説明されている。まだ全部きちんと読めてないが、_CMHIVEと_HHIVEというデータ構造に着目して探すようだ。FTimesのXMagicを利用して、これらの構造体に特有のシグネチャを検出する、ということかな? カーネルの paged poolに含まれているらしい。

今度実際にやってみることにする。