當前位置: 首頁>>技術教程>>正文


在Linux上,如何安裝RegRipper注冊表數據提取工具

, ,
RegRipper是一種開源的取證軟件,用作Windows注冊表數據提取命令行或GUI工具。它是用Perl編寫的,本文將介紹RegRipper命令行工具在Linux係統上的安裝,例如Debian,Ubuntu,Fedora,Centos或Redhat。在大多數情況下,命令行工具RegRipper的安裝過程與操作係統無關,但我們處理安裝先決條件的部分除外。

先決條件

首先,我們需要安裝所有先決條件。根據您正在運行的Linux發行版,在下麵選擇一個相關命令:


DEBIAN/UBUNTU
# apt-get install cpanminus make unzip wget
FEDORA
# dnf install perl-App-cpanminus.noarch make unzip wget perl-Archive-Extract-gz-gzip.noarch which
CENTOS/REDHAT
# yum install  perl-App-cpanminus.noarch make unzip wget perl-Archive-Extract-gz-gzip.noarch which

安裝所需的庫

RegRipper命令行工具取決於perlParse::Win32Registry Library 。下列linux命令s將處理此先決條件並將此庫安裝到/usr/local/lib/rip-lib目錄:


# mkdir /usr/local/lib/rip-lib
#  cpanm -l /usr/local/lib/rip-lib Parse::Win32Registry

RegRipper腳本安裝

在此階段,我們準備安裝rip.pl腳本。該腳本旨在在MS Windows係統上運行,因此,我們需要進行一些小的修改。我們還將包括上述安裝路徑Parse::Win32Registry Library 。從以下位置下載RegRipper源代碼https://regripper.googlecode.com/files/。當前版本是2.8:


#  wget -q https://regripper.googlecode.com/files/rrv2.8.zip

提取 rip.pl腳本:


# unzip -q rrv2.8.zip rip.pl 

刪除解釋器行和不需要的DOS新行字符^M

 
# tail -n +2 rip.pl > rip
# perl -pi -e 'tr[\r][]d' rip

修改腳本以包括與您的Linux係統相關的解釋器,還包括指向以下文件的庫路徑Parse::Win32Registry


# sed -i "1i #!`which perl`" rip
# sed -i '2i use lib qw(/usr/local/lib/rip-lib/lib/perl5/);' rip

安裝您的RegRipperrip腳本並使其可執行:


# cp rip /usr/local/bin
# chmod +x /usr/local/bin/rip

RegRipper插件安裝

最後,我們需要安裝RegRipper的插件。


# wget -q https://regripper.googlecode.com/files/plugins20130429.zip
# mkdir /usr/local/bin/plugins 
# unzip -q plugins20130429.zip -d /usr/local/bin/plugins

RegRipper注冊表數據提取工具現已安裝在您的係統上,可以通過以下方式使用rip命令:


# rip
Rip v.2.8 - CLI RegRipper tool
Rip [-r Reg hive file] [-f plugin file] [-p plugin module] [-l] [-h]
Parse Windows Registry files, using either a single module, or a plugins file.

  -r Reg hive file...Registry hive file to parse
  -g ................Guess the hive file (experimental)
  -f [profile].......use the plugin file (default: plugins\plugins)
  -p plugin module...use only this module
  -l ................list all plugins
  -c ................Output list in CSV format (use with -l)
  -s system name.....Server name (TLN support)
  -u username........User name (TLN support)
  -h.................Help (print this information)
  
Ex: C:\>rip -r c:\case\system -f system
    C:\>rip -r c:\case\ntuser.dat -p userassist
    C:\>rip -l -c

All output goes to STDOUT; use redirection (ie, > or >>) to output to a file.
  
copyright 2013 Quantum Analytics Research, LLC

RegRipper命令示例

很少有使用RegRipper和NTUSER.DAT注冊表配置單元文件。

列出所有可用的插件:


$ rip -l -c

列出用戶安裝的軟件:


$ rip -p listsoft -r NTUSER.DAT
Launching listsoft v.20080324
listsoft v.20080324
(NTUSER.DAT) Lists contents of user's Software key

listsoft v.20080324
List the contents of the Software key in the NTUSER.DAT hive
file, in order by LastWrite time.

Mon Dec 14 06:06:41 2015Z       Google
Mon Dec 14 05:54:33 2015Z       Microsoft
Sun Dec 29 16:44:47 2013Z       Bitstream
Sun Dec 29 16:33:11 2013Z       Adobe
Sun Dec 29 12:56:03 2013Z       Corel
Thu Dec 12 07:34:40 2013Z       Clients
Thu Dec 12 07:34:40 2013Z       Mozilla
Thu Dec 12 07:30:08 2013Z       MozillaPlugins
Thu Dec 12 07:22:34 2013Z       AppDataLow
Thu Dec 12 07:22:34 2013Z       Wow6432Node
Thu Dec 12 07:22:32 2013Z       Policies

使用所有插件提取所有可用信息並將其保存到case1.txt.文件:


$ for i in $( rip -l -c | grep NTUSER.DAT | cut -d , -f1 ); do rip -p $i -r NTUSER.DAT &>> case1.txt ; done

參考資料

本文由Ubuntu問答整理, 博文地址: https://ubuntuqa.com/zh-tw/article/11096.html,未經允許,請勿轉載。