Sitio para la difusión de conocimiento informático. 

Twitter RSS

RegRipper

Que es RegRipper?

RegRipper es una herramienta Open Source, escrita en Perl, con el propósito de analizar la información de las llaves, valores, y datos del registor de Windows para presentar los mismos con el fin de analizarlos. RegRipper consiste en dos herramientas básicas, ambas proveen capacidades similares. La GUI permite al analista seleccionar la clave del registro, un salida a un archivo con el resultado, y un perfil (lista de plugins) para correr contra la clave del registro.  La herramienta para la línea de comandos (CLI) llamada rip. Rip puede ser ejecutada contra la clave del registro usando un perfil o un plugin individual, siendo el resultado enviado a la STDOUT. Rip puede ser incluído en archivos batch, usando los operadores de redirección para enviar la salida a un archivo. Rip no escribe la actividad a un archivo de log.

El siguiente link corresponde al sitio oficial: “http://code.google.com/p/regripper/”.

A continuación veremos como instalar esta herramienta y unos ejemplos prácticos de uso.

Índice:
1.1 Instalación de RegRipper
2.1 Ejemplos de Uso
3.1 Paginas MAN

 

1.1 Instalación de RegRipper

1) Descargamos la versión para linux del siguiente link: “http://mintfe.googlecode.com/files/regripper.tar.gz”.
– wget mintfe.googlecode.com/files/regripper.tar.gz

2) Resolvemos dependencias de Perl usando CPAN:
– cpan
– install Parse::Win32Registry

3) Instalamos RegRipper. Vamos al directorio “/opt/” y descomprimimos el archivo tar.gz en ese directorio.
– cd /opt/
– movemos el archivo a esta carpeta:
– mv /path/to/regripper.tar.gz .
– gunzip regripper.tar.gz
– tar -xvf regripper.tar.gz
– cd regripper
– sudo ./install.sh

 

2.1 Ejemplos de Uso

Los siguientes son dos ejemplos de uso para analizar las claves del registor “SYSTEM” y “NTUSER”, para luego ordenar los datos usando la herramienta mactime. En caso de un análisis forense, o de un incidente, esto nos permitirá comprender el escenario en el que se dió el incidente.

1) Analizo las claves del registro “SYSTEM” y “NTUSER” (en este ejemplo es para el usuario con nombre “Usuario”):
– perl /opt/regripper/rip.pl -r /mounted_windows_partition/WINDOWS/system32/config/system -f system > regtime.bodyfile
– perl /opt/regripper/rip.pl -r /mounted_windows_partition/Documents\ and\ Settings/Usuario/NTUSER.DAT -f ntuser > ntuser.bodyfile

2) Combino los datos obtenidos de los pasos anteriores en un solo archivo “bodyfile”:
– cat regtime.bodyfile >> bodyfile
– cat ntuser.bodyfile >> bodyfile

3) Creo la línea de tiempo usando la herramienta mactime:
– mactime –b bodyfile –z “timezone” > timeline.txt

 

3.1 Paginas MAN

rip v.20090102 – CLI RegRipper tool

rip [-r Reg hive file] [-f plugin file] [-p plugin module] [-l] [-h]

Parse Windows Registry files, using either a single module, or a plugins file.
All plugins must be located in the “plugins” directory; default plugins file
used if no other filename given is “plugins\plugins”.

-r Reg hive file…Registry hive file to parse
-g …………….Guess the hive file (experimental)
-f [plugin file]…use the plugin file (default: plugins\plugins)
-p plugin module…use only this module
-l …………….list all plugins
-c …………….Output list in CSV format (use with -l)
-s system name…..Server name (TLN support)
-u username……..User name (TLN support)
-h……………..Help (print this information)

Ex: $ rip -r /case/system -f system
$ rip -r /case/ntuser.dat -p userassist
$ rip -l -c

All output goes to STDOUT; use redirection (ie, > or >>) to output to a file.

 

Nota: Este es otra excelente publicación sobre esta herramienta: “http://computer-forensics.sans.org/blog/2009/02/24/digital-forensic-sifting-registry-and-filesystem-timeline-creation/”.