メモリ内のレジストリデータかなぁなどと考えていたら、後ろの席の人が新たな EnScript を公開していました

EnCase EnScript "Memory Forensic Toolkit" その１
http://cci.cocolog-nifty.com/blog/2009/10/memory-forensic.html#more

スクリプトは調査ツールのページからもダウンロードが可能です。
メモリダンプからレジストリキーとか抽出するツールをどこかで見た気がするんですが、Volatility Framework 関係でそんな機能があったような？んーでもプロセスがオープンしているレジストリと言えるか不明なのでどういう扱いになるのか微妙な気もしますねぇ。