Привет! Сегодня хочу рассказать о прикольном программном продукте для автоматического анализа системного реестра Windows и предоставлении информации в удобном текстовом варианте для последующего парсинга и анализа.
Продукт называется RegRipper, скачать можно с GitHub.
Вообще, по сути своей это опенсорсный набор скриптов на Perl. Принцип действия – скармливается куст реестра, выбирается плагин и в соответствии с правилами плагина на выходе получается текстовый вариант. Сейчас покажу, как это работает.
Как работать с RegRipper
Как уже сказал, качаем архив с гитхаба, разархивируем и смотрим. Нам предлагается два варианта исполнения – консольный – rip.exe и оконный – rr.exe. Консольный предоставляет более гибкие функции, оконный, соответственно, проще. Рассмотрим оба варианта.
Но нам потребуются файлы реестра операционной системы. С несистемного диска их снять можно простым копированием. Ну а из текущей – при помощи нескольких лайфхаков, которые я описывал в статье про то, как выдрать файл из цепких лап ОС.
- Запускаем приложение rr.exe;
- Открываем куст реестра (пусть в нашем примере будет SOFTWARE);
- Указываем выходной текстовый файл (SOFT.TXT);
- Нажимаем кнопку Rip!.
Поочерёдно начнут запускаться все плагины, уместные для куста “SOFTWARE” (узнать, подходит плагин или нет можно из его содержимого – в одной из первых строк указан тип hive).
В выходном файле будет информация по каждому из плагинов. Я сейчас не буду сильно вдаваться в подробности, что там в этом файле отчёта лежит интересное. Скажу прямо – лежит дофига чего. А покажу на примере работы с консольной версией программы. Вытащим что-то конкретное, что может нас заинтересовать (не все плагины разом).
Работа с консольной версией RegRipper
Вот тут начинается самое вкусненькое – можно гибко настроить, какие плагины должны отработать!
rip -r ..\reg\SOFTWARE -p networklist > networks.txt
Отработает плагин networklist покажет список сетей и их установочные данные:
Или вот версия операционной системы (winver):
Или время последнего входа пользователя (lastloggedon):
Ну и также можно автоматикой прогнать все доступные плагины. Команда указана в справке (-h).
Инструмент шикарнейший, позволяет получить колоссальное количество полезных аретефактов из системного реестра!
Comments: