Analisando registros com regripper

De Peotta-Wiki
Ir para: navegação, pesquisa

Regripper é utilizado para analisar os registros de uma imagem forense. É preciso que a imagem esteja montada.

Conteúdo

Instalação

Você não precisa de nada para a instalação. Basta baixar, descompactar e usar. Entretanto, algumas informações são necessárias.

Interface gráfica rr.exe

Rr.png

Linha de comando rip.exe

Regripper>rip.exe
Rip v.2.5 - CLI RegRipper tool
Rip [-r Reg hive file] [-f plugin file] [-p plugin module] [-l] [-h]
Parse Windows Registry files, using either a single module, or a plugins file.

  -r Reg hive file...Registry hive file to parse
  -g ................Guess the hive file (experimental)
  -f [profile].......use the plugin file (default: plugins\plugins)
  -p plugin module...use only this module
  -l ................list all plugins
  -c ................Output list in CSV format (use with -l)
  -s system name.....Server name (TLN support)
  -u username........User name (TLN support)
  -h.................Help (print this information)

Ex: C:\>rr -r c:\case\system -f system
    C:\>rr -r c:\case\ntuser.dat -p userassist
    C:\>rr -l -c

All output goes to STDOUT; use redirection (ie, > or >>) to output to a file.

copyright 2012 Quantum Analytics Research, LLC

Lista plugins

rip.pl -l

Timezone

rip.pl -r  D:\WINDOWS\system32\config\system -p timezone

Versão do SO

rip.pl -r  D:\WINDOWS\system32\config\software -p winver

Identificando usuários

rip.pl -r  D:\WINDOWS\system32\config\SAM -p samparse

Versão do SO

rip.pl -r  D:\WINDOWS\system32\config\software -p winnt_cv

Hostname

rip.pl -r  D:\WINDOWS\system32\config\system -p compname
Ferramentas pessoais
Espaços nominais

Variantes
Ações
Navegação
Ferramentas