了解主引导记录和 GUID 分区表。本模块演示了主引导记录和 GUID 分区表之间的区别。通过这些信息，学员可以了解在硬盘上定位分区和数据的位置。取证学员将学习如何解释主引导记录和查找硬盘上每个卷的卷引导记录。

本模块探讨 FAT 文件系统的结构。本模块涵盖 FAT 文件系统的结构和布局。学生将了解 FAT 文件系统如何向驱动器写入文件和从驱动器删除文件。有了这些知识，考试者就可以恢复删除的数据或从重新格式化的硬盘中恢复数据。

在本模块中，您将了解 NTSF 文件系统的详细信息。NTSF 是法证检查的重要组成部分。本模块将解释文件系统如何组织信息以及数据在硬盘上的位置。它还包括文件元数据的存储位置，以及删除或创建文件时在文件系统级别发生的变化。

详细了解 ex-FAT 文件系统的细节。在本模块中，学生将学习 ex-FAT 文件系统的结构和布局、文件系统如何跟踪文件、文件元数据存储位置以及如何恢复删除的数据。

探索 Windows 注册表取证的复杂性和挑战。本模块涵盖注册表的历史和功能。内容包括如何检查实时注册表、注册表文件在取证镜像中的位置以及如何提取文件。使用取证工具检查文件后，学生可以找到相关的人工制品，如 USB 设备连接时间、最近使用的文档、程序最后运行时间以及设置为在启动时运行的程序。