Автоматический анализ системного реестра Windows с RegRipper

Привет! Сегодня хочу рассказать о прикольном программном продукте для автоматического анализа системного реестра Windows и предоставлении информации в удобном текстовом варианте для последующего парсинга и анализа.

Продукт называется RegRipper, скачать можно с GitHub.

Вообще, по сути своей это опенсорсный набор скриптов на Perl. Принцип действия – скармливается куст реестра, выбирается плагин и в соответствии с правилами плагина на выходе получается текстовый вариант. Сейчас покажу, как это работает.

Как работать с RegRipper

Как уже сказал, качаем архив с гитхаба, разархивируем и смотрим. Нам предлагается два варианта исполнения – консольный – rip.exe и оконный – rr.exe. Консольный предоставляет более гибкие функции, оконный, соответственно, проще. Рассмотрим оба варианта.

Но нам потребуются файлы реестра операционной системы. С несистемного диска их снять можно простым копированием. Ну а из текущей – при помощи нескольких лайфхаков, которые я описывал в статье про то, как выдрать файл из цепких лап ОС.

  1. Запускаем приложение rr.exe;
  2. Открываем куст реестра (пусть в нашем примере будет SOFTWARE);
  3. Указываем выходной текстовый файл (SOFT.TXT);
  4. Нажимаем кнопку Rip!.

Поочерёдно начнут запускаться все плагины, уместные для куста “SOFTWARE” (узнать, подходит плагин или нет можно из его содержимого – в одной из первых строк указан тип hive).

В выходном файле будет информация по каждому из плагинов. Я сейчас не буду сильно вдаваться в подробности, что там в этом файле отчёта лежит интересное. Скажу прямо – лежит дофига чего. А покажу на примере работы с консольной версией программы. Вытащим что-то конкретное, что может нас заинтересовать (не все плагины разом).

Работа с консольной версией RegRipper

Вот тут начинается самое вкусненькое – можно гибко настроить, какие плагины должны отработать!

rip -r ..\reg\SOFTWARE -p networklist > networks.txt

Отработает плагин networklist покажет список сетей и их установочные данные:

Или вот версия операционной системы (winver):

Или время последнего входа пользователя (lastloggedon):

Ну и также можно автоматикой прогнать все доступные плагины. Команда указана в справке (-h).

Инструмент шикарнейший, позволяет получить колоссальное количество полезных аретефактов из системного реестра!

Интересно? Поделись с другом
Litl-Admin.ru

Comments:

Leave a Reply