Registry Explorer

Описание Registry Explorer

Что такое Registry Explorer

Registry Explorer — это инструмент на основе графического интерфейса, используемый для просмотра содержимого автономных кустов реестра. Он может загружать несколько кустов сразу, выполнять поиск по всем загруженным кустам с использованием строк или регулярных выражений, выполняет экспорт данных, вы можете установить закладки на выбранные фрагменты, сохранить сделанные изменения в проект и многое другое.

Программу Registry Explorer разрабатывает EricZimmerman, его профиль на GitHub.

Программа Registry Explorer основывается на нескольких предыдущих наработках с открытым исходным кодом, в том числе на Registry (https://github.com/EricZimmerman/Registry), но исходный код Registry Explorer не является открытым.

Программа предназначена для работы на Windows и требует полное окружение рабочей среды Microsoft .net framework версии 4.6 или выше (можно скачать по ссылке https://www.microsoft.com/en-us/download/details.aspx?id=49982).

Официальная страница программы Registry Explorer: https://ericzimmerman.github.io/. Там же вы можете ознакомиться с другими наработками автора EricZimmerman.

Что такое RECmd

RECmd — это инструмент командной строки, используемый для доступа к автономным кустам реестра. Он включает в себя многие из тех же функций, что и Registry Explorer, включая поиск, просмотр ключей и значений и экспорт данных. В версии 1.2 добавлен пакетный режим и

поддержка плагинов для автоматического поиска и извлечения данных в CSV.

RECmd использует ту же внутреннюю часть, что и Registry Explorer, для обработки кустов реестра. RECmd имеет открытый исходный код, который доступен здесь.

Для работы также требуется Microsoft .net framework версии 4.6 или выше.

Домашняя страница: https://ericzimmerman.github.io/

Автор: EricZimmerman

Лицензия: ?

Справка по Registry Explorer

Справка отсутствует, это приложение с графическим интерфейсом.

Справка по RECmd

Примечание: заключите все строки, содержащие пробелы (и все регулярные выражения), в двойные кавычки.

Использование:

RECmd.exe [--f КУСТ|--d ДИРЕКТОРИЯ] ОПЦИИ

Опции:

Обязательные аргументы:
        d               Директория для поиска кустов (рекурсивно). Обязательно требуется -f или -d.
        f               Куст в котором выполнить поиск. Требуется -f или -d.

Необязательные аргументы:
        kn              Показать подробности для имени ключа. Включает подразделы и значения
        vn              Имя значения. Будет показано только это значение
        bn              Использовать настройки из предоставленного файла, чтобы найти ключи/значения
        csv             Каталог для сохранения результатов в формате CSV. Требуется, когда используется -bn.
        csvf            Имя файла для сохранения результатов в формате CSV. Если присутствует, отменяет имя по умолчанию
        saveTo          Сохраняет данные значения --vn в двоичной форме в файл. Ожидает путь к ФАЙЛУ
        json            Экспорт --kn в каталог, указанный --json. Игнорируется, если указано --vn

        details         Показать больше деталей при отображении результатов. По умолчанию FALSE

        Base64          Найти значения в кодировке Base64 с размером >= Base64 (указанным в байтах)
        MinSize         Найти значения с размером данных >= MinSize (указан в байтах)

        sa              Поиск <СТРОКИ> в ключах, значениях, данных и slack.
        sk              Поиск <СТРОКИ> в именах ключей.
        sv              Поиск <СТРОКИ> в именах значений
        sd              Поиск <СТРОКИ> в значении записи данных значения
        ss              Поиск <СТРОКИ> в значении записи значения slack
        literal         Если true, значение поиска --sd и --ss не будет интерпретироваться как байтовые строки ASCII или Unicode.
        nd              Если true, не показывать данные при использовании --sd или --ss. По умолчанию FALSE
        regex           Если присутствует, рассматривать <СТРОКУ> в --sk, --sv, --sd и --ss как регулярное выражение. По умолчанию FALSE

        dt              Пользовательский формат даты/времени для использования при отображении отметок времени. По умолчанию: yyyy-MM-dd HH:mm:ss.fffffff
        nl              Если установлено значение true, игнорировать файлы журнала транзакций для грязных кустов. По умолчанию FALSE
        recover         Если true, восстановить удалённые ключи/значения. По умолчанию TRUE

        vss             Обрабатывать все теневые копии томов, существующие на диске, указанном с помощью -f или -d. По умолчанию FALSE
        dedupe          Дедупликация -f или -d и VSC на основе SHA-1. Первый найденный файл побеждает. По умолчанию TRUE

        debug           Показывать отладочную информацию во время обработки
        trace           Показать информацию трассировки во время обработки

Руководство по Registry Explorer

Страница man отсутствует.

Примеры запуска Registry Explorer

Дважды кликните файл RegistryExplorer.exe чтобы открыть графический интерфейс программы.

Примеры запуска RECmd

RECmd.exe --f "C:\Temp\UsrClass 1.dat" --sk URL --recover false --nl
RECmd.exe --f "D:\temp\UsrClass 1.dat" --StartDate "11/13/2014 15:35:01"
RECmd.exe --f "D:\temp\UsrClass 1.dat" --RegEx --sv "(App|Display)Name"

Установка Registry Explorer

Программа предназначена для работы на Windows и требует полное окружение рабочей среды Microsoft .net framework версии 4.6 или выше (можно скачать по ссылке https://www.microsoft.com/en-us/download/details.aspx?id=49982).

Установка в Windows

Со страницы https://ericzimmerman.github.io/ скачайте архив «Registry Explorer/RECmd». Распакуйте его в любую папку, программа является портативной и не требует установки.

Для запуска графического интерфейса дважды кликните файл RegistryExplorer.exe.

Информация об установке в другие операционные системы будет добавлена позже.

Скриншоты Registry Explorer

Инструкции по Registry Explorer

• Анализ реестра Windows