Форум OlegON > Компьютеры и Программное обеспечение > Операционные системы и программное обеспечение > Windows

Автоматический анализ системного реестра Windows с RegRipper : Windows

29.03.2024 18:41


03.07.2021 21:13
Occul
 
Сегодня хочу рассказать о прикольном программном продукте для автоматического анализа системного реестра Windows и предоставлении информации в удобном текстовом варианте для последующего парсинга и анализа.

Продукт называется RegRipper, скачать можно с GitHub.

Вообще, по сути своей это опенсорсный набор скриптов на Perl. Принцип действия – скармливается куст реестра, выбирается плагин и в соответствии с правилами плагина на выходе получается текстовый вариант. Сейчас покажу, как это работает.
Как работать с RegRipper

Как уже сказал, качаем архив с гитхаба, разархивируем и смотрим. Нам предлагается два варианта исполнения – консольный – rip.exe и оконный – rr.exe. Консольный предоставляет более гибкие функции, оконный, соответственно, проще. Рассмотрим оба варианта.

Но нам потребуются файлы реестра операционной системы. С несистемного диска их снять можно простым копированием.

Запускаем приложение rr.exe;
Открываем куст реестра (пусть в нашем примере будет SOFTWARE);
Указываем выходной текстовый файл (SOFT.TXT);
Нажимаем кнопку Rip!.




Поочерёдно начнут запускаться все плагины, уместные для куста “SOFTWARE” (узнать, подходит плагин или нет можно из его содержимого – в одной из первых строк указан тип hive).




В выходном файле будет информация по каждому из плагинов. Я сейчас не буду сильно вдаваться в подробности, что там в этом файле отчёта лежит интересное. Скажу прямо – лежит дофига чего. А покажу на примере работы с консольной версией программы. Вытащим что-то конкретное, что может нас заинтересовать (не все плагины разом).
Работа с консольной версией RegRipper

Вот тут начинается самое вкусненькое – можно гибко настроить, какие плагины должны отработать!

rip -r ..\reg\SOFTWARE -p networklist > networks.txt

Отработает плагин networklist покажет список сетей и их установочные данные:




Или вот версия операционной системы (winver):




Или время последнего входа пользователя (lastloggedon):




Ну и также можно автоматикой прогнать все доступные плагины. Команда указана в справке (-h).

Инструмент шикарнейший, позволяет получить колоссальное количество полезных аретефактов из системного реестра!
Часовой пояс GMT +3, время: 18:41.

Форум на базе vBulletin®
Copyright © Jelsoft Enterprises Ltd.
В случае заимствования информации гипертекстовая индексируемая ссылка на Форум обязательна.