regrippy

Описание regrippy

RegRippy это платформа для чтения и извлечения полезных криминалистических данных из кустов (hives) реестра Windows. Программа является альтернативой RegRipper, разработанной на современном Python 3. Для доступа к сырым кустам регистра она использует python-registry от William Ballenthin.

Цель этого проекта — обеспечить платформу для быстрой и простой разработки собственных плагинов, применяемых в сценариях реагирования на инциденты.

Домашняя страница: https://github.com/airbus-cert/regrippy

Автор: Airbus Computer Emergency Response Team (CERT)

Лицензия: Apache-2.0

Справка по regrippy

Использование:

regrip.py [-h] [--system SYSTEM] [--software SOFTWARE] [--sam SAM] [--ntuser NTUSER]
                 [--usrclass USRCLASS] [--root ROOT] [--all-user-hives] [--verbose] [--pipe] [--list]
                 ИМЯ_ПЛАГИНА

Опции:

Обязательные аргументы:
  plugin_name           Имя плагина для запуска

Необязательные аргументы:
  -h, --help            показать справку и выйти
  --system SYSTEM, -y SYSTEM
                        Путь до куста SYSTEM. Перезаписывает --root и переменную окружения REG_SYSTEM
  --software SOFTWARE, -o SOFTWARE
                        Путь до куста SOFTWARE. Перезаписывает --root и переменную окружения REG_SOFTWARE
  --sam SAM, -a SAM     Путь до куста SAM. Перезаписывает --root и переменную окружения REG_SAM
  --ntuser NTUSER, -n NTUSER
                        Путь до куста NTUSER.DAT. Перезаписывает и переменную окружения REG_NTUSER
  --usrclass USRCLASS, -u USRCLASS
                        Путь до куста UsrClass.DAT. Перезаписывает и переменную окружения REG_USRCLASS
  --root ROOT, -r ROOT  Путь до папки C:
  --all-user-hives      Работает, если нужно, на всех кустах NTUSER.DAT и USRCLASS.DAT. Требует использование --root. Перезаписывает
                        --ntuser и --usrclass.
  --verbose, -v         Более подробный вывод
  --pipe, -p            Принудительно выводить в формате для передачи по контейнеру другой программе
  --list, -l            Вывести список доступных плагинов

Руководство по regrippy

Страница man отсутствует.

Примеры запуска regrippy

Определить имя компьютера (compname), чей диск смонтирован в указанную папку (--root /mnt/evidence/C):

regrip.py --root /mnt/evidence/C compname
JOHN-DESKTOP

Получить URL набранные в IE (typedurls) для всех пользователей на машине (--all-user-hives), чей диск смонтирован в указанную папку (--root /mnt/evidence/C), использовать подробный вывод (-v):

regrip.py -v --root /mnt/evidence/C --all-user-hives typedurls
regrip.py:info:Administrator
regrip.py:warn:Could not open key Software\Microsoft\Internet Explorer\TypedURLs
regrip.py:info:John
https://google.com/?q=how+to+buy+bitcoin

Установка regrippy

Установка в Kali Linux

sudo apt install python3-pip
sudo pip3 install regrippy

Установка в BlackArch

Программа предустановлена в BlackArch, но на момент написания версия из стандартного репозитория не работает.

Для установки из стандартного репозитория выполните команду:

sudo pacman -S regrippy

Проверьте её работоспособность. Если она не запускается, то удалите её:

sudo pacman -R regrippy python-enum-compat python-python-registry python-unicodecsv

И выполните установку следующим образом:

sudo pip3 install regrippy

Установка в Windows

Начните с установки Python и PIP. После установки Python и PIP на Windows выполните следующую команду:

pip install regrippy

Проверьте успешность установки:

regrip.py --help
regrip.py -l

Информация об установке в другие операционные системы будет добавлена позже.

Скриншоты regrippy

Инструкции по regrippy

Ссылки на инструкции будут добавлены позже.

Рекомендуется Вам:

Comments are Closed