RegRippy
Описание RegRippy
RegRippy — это платформа для чтения и извлечения полезных данных для судебной экспертизы из кустов реестра Windows. Это альтернатива RegRipper, разработанная на современном Python 3. Она использует python-registry Уильяма Баллентина для доступа к необработанным кустам реестра.
Цель этого проекта — предоставить основу для быстрой и простой разработки собственных подключаемых модулей в сценарии реагирования на инциденты.
Этот инструмент сделает все возможное, чтобы не мешать вам и быстро предоставить вам полезные данные. Примеры использования:
# Получаем имя компьютера: regrip.py --root /mnt/evidence/C compname JOHN-DESKTOP
# Получаем URL, набранные в IE для всех пользователей на машине regrip.py -v --root /mnt/evidence/C --all-user-hives typedurls regrip.py:info:Administrator regrip.py:warn:Could not open key Software\Microsoft\Internet Explorer\TypedURLs regrip.py:info:John https://google.com/?q=how+to+buy+bitcoin
Все плагины также должны поддерживать как читаемый человеком, так и машиночитаемый вывод (формат Bodyfile), что позволяет легко передавать по конвейеру данные в mactime или другие инструменты.
Домашняя страница: https://github.com/airbus-cert/regrippy
Автор: Airbus Computer Emergency Response Team (CERT)
Лицензия: Apache-2.0
Справка по RegRippy
Использование:
regrip.py [-h] [--system SYSTEM] [--software SOFTWARE] [--sam SAM] [--ntuser NTUSER] [--usrclass USRCLASS] [--root ROOT] [--all-user-hives] [--verbose] [--pipe] [--list] plugin_name
Опции:
позиционные аргументы: plugin_name Имя плагина для запуска опционные аргументы: -h, --help показать справку и выйти --system SYSTEM, -y SYSTEM Путь до куста SYSTEM. Перезаписывает --root и переменную окружения REG_SYSTEM --software SOFTWARE, -o SOFTWARE Путь до куста SOFTWARE. Перезаписывает --root и переменную окружения REG_SOFTWARE --sam SAM, -a SAM Путь до куста SAM. Перезаписывает --root переменную окружения REG_SAM --ntuser NTUSER, -n NTUSER Путь до куста NTUSER.DAT. Перезаписывает переменную окружения REG_NTUSER --usrclass USRCLASS, -u USRCLASS Путь до куста UsrClass.DAT. Перезаписывает REG_USRCLASS переменную окружения --root ROOT, -r ROOT Путь до папки C:. --all-user-hives Работать со всеми кустами NTUSER.DAT и USRCLASS.DAT если нужно. Требует --root. Перезаписывает --ntuser и --usrclass. --verbose, -v Быть более вербальной --pipe, -p Принудительный вывод в контейнерный формат --list, -l Вывести список всех доступных плагинов
Руководство по RegRippy
Страница man отсутствует.
Доступные модули
Далее дано имя модуля, затем в скобках идёт имя куста реестра, необходимого для работы модуля и после двоеточия его описание:
- compname(SYSTEM): Возвращает имя компьютера
- filedialogmru(NTUSER.DAT): Считывает ключи OpenSaveMRU и LastVisitedMRU (самые последние файлы, используемые в диалоговых окнах Сохранить как / Открыть как)
- lastloggedon(SOFTWARE): Получает имя последнего выполнившего вход пользователя
- mndmru(NTUSER.DAT): Считывает ключ 'Map Network Drive MRU' (самые последние использованные удалённые диски)
- portproxy(SYSTEM): Выводит список всех сетевых редиректов, настроенных в системе
- rdphint(NTUSER.DAT): Выводит список всех недавно подключённых к RDP серверам
- recentdocs(NTUSER.DAT): Выводит список 'My Recent Documents' (мои последние документы)
- regtime(ALL): Создает график даты последнего изменения каждого ключа
- run([‘NTUSER.DAT’, ‘SOFTWARE’]): Считывает и выводит программы автозагрузки из разных кустов
- runmru(NTUSER.DAT): Считывает ключ RunMRU (самые последние использованные программы)
- services(SYSTEM): Выводит список всех служб, установленных в системе
- srum(SOFTWARE): Получает временные данные SRUM из регистра
- sysinternals(NTUSER.DAT): Поиск ключей Sysinternal EulaAccepted
- timezone(SYSTEM): Возвращает часовой пояс компьютера
- typedurls(NTUSER.DAT): Извлекает URL набранные в Internet Explorer
- uninstall(SOFTWARE): Список всего установленного программного обеспечения
- userassist(NTUSER.DAT): Парсит ключ UserAssist для получения информации по использованию программ
- version(SOFTWARE): Получает версию Windows
Псевдонимы
Для ускорения запуска, имени исполнимого файла, за которым идёт название модуля для использования», можно указать псевдоним, например, вместо «regrip.py compname» можно указать «reg_compname».
Присутствуют следующие псевдонимы:
- reg_compname
- reg_lastloggedon
- reg_portproxy
- reg_recentdocs
- reg_run
- reg_services
- reg_sysinternals
- reg_typedurls
- reg_userassist
- reg_filedialogmru
- reg_mndmru
- reg_rdphint
- reg_regtime
- reg_runmru
- reg_srum
- reg_timezone
- reg_uninstall
- reg_version
Примеры запуска RegRippy
Следующая команда получает имя компьютера (compname), которому принадлежит куст реестра, расположенный по пути /mnt/disk_d/Share/config/SYSTEM (--system /mnt/disk_d/Share/config/SYSTEM):
regrip.py compname --system /mnt/disk_d/Share/config/SYSTEM
Пример вывода:
HACKWARE-MIAL
Команда выводит информацию о пользователе, выполнившем последний вход (lastloggedon) используя куст реестра SOFTWARE (--software /mnt/disk_d/Share/config/SOFTWARE):
regrip.py lastloggedon --software /mnt/disk_d/Share/config/SOFTWARE
Пример вывода: LastLoggedOnSAMUser .\MiAl LastLoggedOnUser .\MiAl LastLoggedOnUserSID S-1-5-21-1461214404-118510055-3688602372-1001
Команда, выводящая список всех сетевых сервисов:
regrip.py services --system /mnt/disk_d/Share/config/SYSTEM
Команда, аналогичная предыдущей, но с фильтром для поиска сервисов Apache и MySQL:
regrip.py services --system /mnt/disk_d/Share/config/SYSTEM | grep -i -E 'apache|mysql'
Пример вывода:
0|Apache2.4 ImagePath="c:\Server\bin\Apache24\bin\httpd.exe" -k runservice|0||0|0|0|0|1602644768|0|0 0|MySQL ImagePath=c:\Server\bin\mysql-8.0\bin\mysqld MySQL|0||0|0|0|0|1602644769|0|0
Команда показывает самые последние файлы, используемые в диалоговых окнах «Сохранить как» / «Открыть как»:
regrip.py filedialogmru --ntuser /mnt/disk_d/Share/config2/NTUSER.DAT
Команда показывает последние использованные документы:
regrip.py recentdocs --ntuser /mnt/disk_d/Share/config2/NTUSER.DAT
Показать программы, которые в ОС добавлены в автозагрузку:
regrip.py run --ntuser /mnt/disk_d/Share/config2/NTUSER.DAT --software /mnt/disk_d/Share/config/SOFTWARE
Пример вывода:
Opera Browser Assistant // C:\Users\MiAl\AppData\Local\Programs\Opera\assistant\browser_assistant.exe SecurityHealth // %windir%\system32\SecurityHealthSystray.exe VBoxTray // %SystemRoot%\system32\VBoxTray.exe
Вывод списка установленных программ:
regrip.py uninstall --software /mnt/disk_d/Share/config/SOFTWARE
Установка RegRippy
Установка в Kali Linux
sudo apt install python3-pip sudo pip3 install regrippy
Установка в BlackArch
Программа предустановлена в BlackArch, но на момент написания версия из стандартного репозитория не работает.
Для установки из стандартного репозитория выполните команду:
sudo pacman -S regrippy
Проверьте её работоспособность. Если она не запускается, то удалите её:
sudo pacman -R regrippy python-enum-compat python-python-registry python-unicodecsv
И выполните установку следующим образом:
sudo pip3 install regrippy
Установка в Windows
Начните с установки Python и PIP. После установки Python и PIP на Windows выполните следующую команду:
pip install regrippy
Проверьте успешность установки:
regrip.py --help regrip.py -l
Информация об установке в другие операционные системы будет добавлена позже.
Comments are Closed