libregf
Описание libregf
libregf — это библиотека для доступа к файлу в формате Windows NT Registry File (REGF), то есть к кустам реестра Windows.
libregf включает утилиту regfmount, которая монтирует Windows NT Registry File (REGF) в файловую систему и делает ключи реестра доступными для редактирования как простые текстовые файлы.
Домашняя страница: https://github.com/libyal/libregf
Автор: Joachim Metz
Лицензия: LGPLv3+
Справка по libregf
Использование:
regfmount [ -c КОДИРОВКА ] [ -X РАСШИРЕННЫЕ_ОПЦИИ ] [ -hvV ] ФАЙЛ ТОЧКА_МОНТИРОВАНИЯ
Опции:
ФАЙЛ: Файл Windows NT Registry File (REGF) ТОЧКА_МОНТИРОВАНИЯ: директория, которая выступает точкой монтирования -c: codepage of ASCII strings, options: ascii, windows-874, windows-932, windows-936, windows-949, windows-950, windows-1250, windows-1251, windows-1252 (default), windows-1253, windows-1254, windows-1255, windows-1256, windows-1257 or windows-1258 -h: показать справку -v: вербальный вывод в stderr, в то время как regfmount работает в фоне -V: вывести версию -X: расширенные опции для передачи в подсистему
Информация об опциях монтирования FUSE
Руководство по libregf
Страница man отсутствует.
Примеры запуска libregf
Для монтирования файла REGF (куст реестра Windows) /mnt/disk_d/Share/config/SOFTWARE в директорию /tmp/reg:
mkdir /tmp/reg regfmount /mnt/disk_d/Share/config/SOFTWARE /tmp/reg
Эта команда откроет каталоги и файлы, содержащие элементы, содержащиеся в файле REGF.
Теперь вы можете увидеть всё, что есть в этом улье, в директории "/tmp/reg":
ls /tmp/reg
Пример вывода:
7-Zip IPS Policies ABBYY Khronos Realtek AdoptOpenJDK Knowles RegisteredApplications 'AGEIA Technologies' LibreOffice RTLSetup ASUS Macromedia Setup AutoHotkey Microsoft SonicFocus Classes Mozilla SoundResearch Clients mozilla.org 'SRS Labs' CVSM MozillaPlugins SyncIntegrationClients Cygwin Nahimic 'The Document Foundation' DefaultUserEnvironment Nuance TigerVNC Dolby 'NVIDIA Corporation' TightVNC dotnet ODBC 'Tracker Software' DTS OEM Windows Fortemedia OpenSSH WOW6432Node 'GIMP 2.10' Oracle 'Yamaha APO' Google Partner Intel Piriform
Допустим, вы хотите увидеть программы, которые автоматически запускаются при включении компьютера.
ls -l '/tmp/reg/Microsoft/Windows/CurrentVersion/Run/(values)/'
Пример вывода:
итого 0 -r--r--r-- 1 mial users 88 ноя 18 09:46 SecurityHealth -r--r--r-- 1 mial users 70 ноя 18 09:46 VBoxTray
Вы хотите увидеть, что содержат эти значения.
for X in '/tmp/reg/Microsoft/Windows/CurrentVersion/Run/(values)/'*; do echo -en "$X\n "; cat "$X"; echo; done
Пример вывода:
/tmp/reg/Microsoft/Windows/CurrentVersion/Run/(values)/SecurityHealth %windir%\system32\SecurityHealthSystray.exe /tmp/reg/Microsoft/Windows/CurrentVersion/Run/(values)/VBoxTray %SystemRoot%\system32\VBoxTray.exe
Было ли что-нибудь перехвачено (hijacked) в "оболочке" Windows, запускающей explorer.exe?
cat '/tmp/reg/Microsoft/Windows NT/CurrentVersion/Winlogon/(values)/Shell'
Пример вывода:
explorer.exe
Как насчёт значения userinit.exe?
cat '/tmp/reg/Microsoft/Windows NT/CurrentVersion/Winlogon/(values)/Userinit'
Пример вывода:
C:\Windows\system32\userinit.exe,
Размонтирование:
Для размонтирования /tmp/reg используйте команду:
umount /tmp/reg/
Или fusermount:
fusermount -u /tmp/reg/
Работа с libregf (regfmount) на Windows
Для монтирования файла REGF на Windows:
regfmount SYSTEM.DAT x:
На данный момент regfmount удерживает консоль.
Предыдущая команда откроет каталоги и файлы включающие элементы, содержащиеся в файле REGF.
X:\ControlSet001
Для размонтирования завершите запущенный в консоли процесс. Это можно сделать нажав Ctrl+c.
Установка libregf
Установка в Kali Linux
sudo apt install libregf-utils
Установка в BlackArch
sudo pacman -S git autoconf automake libtool pkg-config git clone https://github.com/libyal/libregf cd libregf/ ./synclibs.sh ./autogen.sh ./configure make sudo make install
Скриншоты libregf
Comments are Closed