RegRipper是一种开源的取证软件,用作Windows注册表数据提取命令行或GUI工具。它是用Perl编写的,本文将介绍RegRipper命令行工具在Linux系统上的安装,例如Debian,Ubuntu,Fedora,Centos或Redhat。在大多数情况下,命令行工具RegRipper的安装过程与操作系统无关,但我们处理安装先决条件的部分除外。
先决条件
首先,我们需要安装所有先决条件。根据您正在运行的Linux发行版,在下面选择一个相关命令:
DEBIAN/UBUNTU
# apt-get install cpanminus make unzip wget
FEDORA
# dnf install perl-App-cpanminus.noarch make unzip wget perl-Archive-Extract-gz-gzip.noarch which
CENTOS/REDHAT
# yum install perl-App-cpanminus.noarch make unzip wget perl-Archive-Extract-gz-gzip.noarch which
安装所需的库
RegRipper命令行工具取决于perlParse::Win32Registry Library 。下列linux命令s将处理此先决条件并将此库安装到/usr/local/lib/rip-lib目录:
# mkdir /usr/local/lib/rip-lib
# cpanm -l /usr/local/lib/rip-lib Parse::Win32Registry
RegRipper脚本安装
在此阶段,我们准备安装rip.pl脚本。该脚本旨在在MS Windows系统上运行,因此,我们需要进行一些小的修改。我们还将包括上述安装路径Parse::Win32Registry Library 。从以下位置下载RegRipper源代码https://regripper.googlecode.com/files/。当前版本是2.8:
# wget -q https://regripper.googlecode.com/files/rrv2.8.zip
提取 rip.pl脚本:
# unzip -q rrv2.8.zip rip.pl
删除解释器行和不需要的DOS新行字符^M:
# tail -n +2 rip.pl > rip
# perl -pi -e 'tr[\r][]d' rip
修改脚本以包括与您的Linux系统相关的解释器,还包括指向以下文件的库路径Parse::Win32Registry:
# sed -i "1i #!`which perl`" rip
# sed -i '2i use lib qw(/usr/local/lib/rip-lib/lib/perl5/);' rip
安装您的RegRipperrip脚本并使其可执行:
# cp rip /usr/local/bin
# chmod +x /usr/local/bin/rip
RegRipper插件安装
最后,我们需要安装RegRipper的插件。
# wget -q https://regripper.googlecode.com/files/plugins20130429.zip
# mkdir /usr/local/bin/plugins
# unzip -q plugins20130429.zip -d /usr/local/bin/plugins
RegRipper注册表数据提取工具现已安装在您的系统上,可以通过以下方式使用rip命令:
# rip
Rip v.2.8 - CLI RegRipper tool
Rip [-r Reg hive file] [-f plugin file] [-p plugin module] [-l] [-h]
Parse Windows Registry files, using either a single module, or a plugins file.
-r Reg hive file...Registry hive file to parse
-g ................Guess the hive file (experimental)
-f [profile].......use the plugin file (default: plugins\plugins)
-p plugin module...use only this module
-l ................list all plugins
-c ................Output list in CSV format (use with -l)
-s system name.....Server name (TLN support)
-u username........User name (TLN support)
-h.................Help (print this information)
Ex: C:\>rip -r c:\case\system -f system
C:\>rip -r c:\case\ntuser.dat -p userassist
C:\>rip -l -c
All output goes to STDOUT; use redirection (ie, > or >>) to output to a file.
copyright 2013 Quantum Analytics Research, LLC
RegRipper命令示例
很少有使用RegRipper和NTUSER.DAT注册表配置单元文件。
列出所有可用的插件:
$ rip -l -c
列出用户安装的软件:
$ rip -p listsoft -r NTUSER.DAT
Launching listsoft v.20080324
listsoft v.20080324
(NTUSER.DAT) Lists contents of user's Software key
listsoft v.20080324
List the contents of the Software key in the NTUSER.DAT hive
file, in order by LastWrite time.
Mon Dec 14 06:06:41 2015Z Google
Mon Dec 14 05:54:33 2015Z Microsoft
Sun Dec 29 16:44:47 2013Z Bitstream
Sun Dec 29 16:33:11 2013Z Adobe
Sun Dec 29 12:56:03 2013Z Corel
Thu Dec 12 07:34:40 2013Z Clients
Thu Dec 12 07:34:40 2013Z Mozilla
Thu Dec 12 07:30:08 2013Z MozillaPlugins
Thu Dec 12 07:22:34 2013Z AppDataLow
Thu Dec 12 07:22:34 2013Z Wow6432Node
Thu Dec 12 07:22:32 2013Z Policies
使用所有插件提取所有可用信息并将其保存到case1.txt.文件:
$ for i in $( rip -l -c | grep NTUSER.DAT | cut -d , -f1 ); do rip -p $i -r NTUSER.DAT &>> case1.txt ; done