RegRippy


Описание RegRippy

RegRippy — это платформа для чтения и извлечения полезных данных для судебной экспертизы из кустов реестра Windows. Это альтернатива RegRipper, разработанная на современном Python 3. Она использует python-registry Уильяма Баллентина для доступа к необработанным кустам реестра.

Цель этого проекта — предоставить основу для быстрой и простой разработки собственных подключаемых модулей в сценарии реагирования на инциденты.

Этот инструмент сделает все возможное, чтобы не мешать вам и быстро предоставить вам полезные данные. Примеры использования:

# Получаем имя компьютера:
regrip.py --root /mnt/evidence/C compname
JOHN-DESKTOP
# Получаем URL, набранные в IE для всех пользователей на машине
regrip.py -v --root /mnt/evidence/C --all-user-hives typedurls
regrip.py:info:Administrator
regrip.py:warn:Could not open key Software\Microsoft\Internet Explorer\TypedURLs
regrip.py:info:John
https://google.com/?q=how+to+buy+bitcoin

Все плагины также должны поддерживать как читаемый человеком, так и машиночитаемый вывод (формат Bodyfile), что позволяет легко передавать по конвейеру данные в mactime или другие инструменты.

Домашняя страница: https://github.com/airbus-cert/regrippy

Автор: Airbus Computer Emergency Response Team (CERT)

Лицензия: Apache-2.0

Справка по RegRippy

Использование:

regrip.py [-h] [--system SYSTEM] [--software SOFTWARE] [--sam SAM] [--ntuser NTUSER] [--usrclass USRCLASS] [--root ROOT] [--all-user-hives] [--verbose] [--pipe] [--list] plugin_name

Опции:

позиционные аргументы:
  plugin_name           Имя плагина для запуска

опционные аргументы:
  -h, --help            показать справку и выйти
  --system SYSTEM, -y SYSTEM
                        Путь до куста SYSTEM. Перезаписывает --root и переменную окружения REG_SYSTEM
  --software SOFTWARE, -o SOFTWARE
                        Путь до куста SOFTWARE. Перезаписывает --root и переменную окружения REG_SOFTWARE
  --sam SAM, -a SAM     Путь до куста SAM. Перезаписывает --root переменную окружения REG_SAM
  --ntuser NTUSER, -n NTUSER
                        Путь до куста NTUSER.DAT. Перезаписывает переменную окружения REG_NTUSER
  --usrclass USRCLASS, -u USRCLASS
                        Путь до куста UsrClass.DAT. Перезаписывает REG_USRCLASS переменную окружения
  --root ROOT, -r ROOT  Путь до папки C:.
  --all-user-hives      Работать со всеми кустами NTUSER.DAT и USRCLASS.DAT если нужно. Требует --root. Перезаписывает --ntuser и --usrclass.
  --verbose, -v         Быть более вербальной
  --pipe, -p            Принудительный вывод в контейнерный формат
  --list, -l            Вывести список всех доступных плагинов

Руководство по RegRippy

Страница man отсутствует.


Доступные модули

Далее дано имя модуля, затем в скобках идёт имя куста реестра, необходимого для работы модуля и после двоеточия его описание:

  • compname(SYSTEM): Возвращает имя компьютера
  • filedialogmru(NTUSER.DAT): Считывает ключи OpenSaveMRU и LastVisitedMRU (самые последние файлы, используемые в диалоговых окнах Сохранить как / Открыть как)
  • lastloggedon(SOFTWARE): Получает имя последнего выполнившего вход пользователя
  • mndmru(NTUSER.DAT): Считывает ключ 'Map Network Drive MRU' (самые последние использованные удалённые диски)
  • portproxy(SYSTEM): Выводит список всех сетевых редиректов, настроенных в системе
  • rdphint(NTUSER.DAT): Выводит список всех недавно подключённых к RDP серверам
  • recentdocs(NTUSER.DAT): Выводит список 'My Recent Documents' (мои последние документы)
  • regtime(ALL): Создает график даты последнего изменения каждого ключа
  • run([‘NTUSER.DAT’, ‘SOFTWARE’]): Считывает и выводит программы автозагрузки из разных кустов
  • runmru(NTUSER.DAT): Считывает ключ RunMRU (самые последние использованные программы)
  • services(SYSTEM): Выводит список всех служб, установленных в системе
  • srum(SOFTWARE): Получает временные данные SRUM из регистра
  • sysinternals(NTUSER.DAT): Поиск ключей Sysinternal EulaAccepted
  • timezone(SYSTEM): Возвращает часовой пояс компьютера
  • typedurls(NTUSER.DAT): Извлекает URL набранные в Internet Explorer
  • uninstall(SOFTWARE): Список всего установленного программного обеспечения
  • userassist(NTUSER.DAT): Парсит ключ UserAssist для получения информации по использованию программ
  • version(SOFTWARE): Получает версию Windows

Псевдонимы

Для ускорения запуска, имени исполнимого файла, за которым идёт название модуля для использования», можно указать псевдоним, например, вместо «regrip.py compname» можно указать «reg_compname».

Присутствуют следующие псевдонимы:


  • reg_compname
  • reg_lastloggedon
  • reg_portproxy
  • reg_recentdocs
  • reg_run
  • reg_services
  • reg_sysinternals
  • reg_typedurls
  • reg_userassist
  • reg_filedialogmru
  • reg_mndmru
  • reg_rdphint
  • reg_regtime
  • reg_runmru
  • reg_srum
  • reg_timezone
  • reg_uninstall
  • reg_version

Примеры запуска RegRippy

Следующая команда получает имя компьютера (compname), которому принадлежит куст реестра, расположенный по пути /mnt/disk_d/Share/config/SYSTEM (--system /mnt/disk_d/Share/config/SYSTEM):

regrip.py compname --system /mnt/disk_d/Share/config/SYSTEM

Пример вывода:

HACKWARE-MIAL

Команда выводит информацию о пользователе, выполнившем последний вход (lastloggedon) используя куст реестра SOFTWARE (--software /mnt/disk_d/Share/config/SOFTWARE):

regrip.py lastloggedon --software /mnt/disk_d/Share/config/SOFTWARE
Пример вывода:
LastLoggedOnSAMUser 	 .\MiAl
LastLoggedOnUser 	 .\MiAl
LastLoggedOnUserSID 	 S-1-5-21-1461214404-118510055-3688602372-1001

Команда, выводящая список всех сетевых сервисов:

regrip.py services --system /mnt/disk_d/Share/config/SYSTEM

Команда, аналогичная предыдущей, но с фильтром для поиска сервисов Apache и MySQL:

regrip.py services --system /mnt/disk_d/Share/config/SYSTEM | grep -i -E 'apache|mysql'

Пример вывода:

0|Apache2.4	ImagePath="c:\Server\bin\Apache24\bin\httpd.exe" -k runservice|0||0|0|0|0|1602644768|0|0
0|MySQL	ImagePath=c:\Server\bin\mysql-8.0\bin\mysqld MySQL|0||0|0|0|0|1602644769|0|0

Команда показывает самые последние файлы, используемые в диалоговых окнах «Сохранить как» / «Открыть как»:

regrip.py filedialogmru --ntuser /mnt/disk_d/Share/config2/NTUSER.DAT

Команда показывает последние использованные документы:

regrip.py recentdocs --ntuser /mnt/disk_d/Share/config2/NTUSER.DAT

Показать программы, которые в ОС добавлены в автозагрузку:

regrip.py run --ntuser /mnt/disk_d/Share/config2/NTUSER.DAT --software /mnt/disk_d/Share/config/SOFTWARE

Пример вывода:

Opera Browser Assistant // C:\Users\MiAl\AppData\Local\Programs\Opera\assistant\browser_assistant.exe
SecurityHealth // %windir%\system32\SecurityHealthSystray.exe
VBoxTray // %SystemRoot%\system32\VBoxTray.exe

Вывод списка установленных программ:

regrip.py uninstall --software /mnt/disk_d/Share/config/SOFTWARE

Установка RegRippy

Установка в Kali Linux

sudo apt install python3-pip
sudo pip3 install regrippy

Установка в BlackArch

Программа предустановлена в BlackArch, но на момент написания версия из стандартного репозитория не работает.

Для установки из стандартного репозитория выполните команду:

sudo pacman -S regrippy

Проверьте её работоспособность. Если она не запускается, то удалите её:

sudo pacman -R regrippy python-enum-compat python-python-registry python-unicodecsv

И выполните установку следующим образом:

sudo pip3 install regrippy

Установка в Windows

Начните с установки Python и PIP. После установки Python и PIP на Windows выполните следующую команду:

pip install regrippy

Проверьте успешность установки:

regrip.py --help
regrip.py -l

Информация об установке в другие операционные системы будет добавлена позже.

Скриншоты RegRippy


Инструкции по RegRippy


Близкие программы:

  • RegRipper (100%)
  • Registry Explorer (100%)
  • creddump (100%)
  • regipy (100%)
  • chntpw (100%)
  • Detect It Easy (RANDOM - 5.2%)
  • Рекомендуется Вам:

    Comments are Closed