regipper命令例子
列出所有可用插件:
$rip -l -c
列出由用户安装的软件:
$rip -p listsoft -r NTUSER.DAT Launching listsoft v.20080324 listsoft v.20080324 (NTUSER.DAT) Lists contents of user's Software key listsoft v.20080324 List the contents of the Software key in the NTUSER.DAT hive file, in order by LastWrite time. Mon Dec 14 06:06:41 2014Z Google Mon Dec 14 05:54:33 2014Z Microsoft Sun Dec 29 16:44:47 2013Z Bitstream Sun Dec 29 16:33:11 2013Z Adobe Sun Dec 29 12:56:03 2013Z Corel Thu Dec 12 07:34:40 2013Z Clients Thu Dec 12 07:34:40 2013Z Mozilla Thu Dec 12 07:30:08 2013Z MozillaPlugins Thu Dec 12 07:22:34 2013Z AppDataLow Thu Dec 12 07:22:34 2013Z Wow6432Node Thu Dec 12 07:22:32 2013Z Policies
使用插件提取所有可用信息,并将其保存到case1.txt.
文件中:
$for i in $( rip -l -c | grep NTUSER.DAT | cut -d , -f1 ); do rip -p $i -r NTUSER.DAT &>> case1.txt ; done
安装RegRipper脚本
该脚本旨在在MS Windows系统上运行,因此我们需要进行一些小修改。
我们还将包含上面安装的路径parse :: win32registry
库 。
从https://regripper.googlecode.com/files/
下载RegRipper源代码:
# wget -q https://regripper.googlecode.com/files/rrv2.8.zip
提取RIP.PL
脚本:
# unzip -q rrv2.8.zip rip.pl
删除interpretor行以及不需要的DOS新行字符^ M
:
# tail -n +2 rip.pl > rip # perl -pi -e 'tr[\r][]d' rip
修改脚本以包含与Linux系统相关的解释器,也包括库路径到“Parse :: Win32Registry”:
# sed -i "1i #!`which perl`" rip # sed -i '2i use lib qw(/usr/local/lib/rip-lib/lib/perl5/);' rip
安装RegRipperRIP
脚本并使其可执行文件:
# cp rip /usr/local/bin # chmod +x /usr/local/bin/rip
regipper是一个用于Windows注册表数据提取命令行或者GUI开源工具。
准备工作
首先,我们需要安装所有前提条件。
DEBIAN/UBUNTU # apt-get install cpanminus make unzip wget FEDORA # dnf install perl-App-cpanminus.noarch make unzip wget perl-Archive-Extract-gz-gzip.noarch which CENTOS/REDHAT # yum install perl-App-cpanminus.noarch make unzip wget perl-Archive-Extract-gz-gzip.noarch which
RegRipper插件安装
最后,我们需要安装RegRipper的插件。
# wget -q https://regripper.googlecode.com/files/plugins20130429.zip # mkdir /usr/local/bin/plugins # unzip -q plugins20130429.zip -d /usr/local/bin/plugins
reftper注册表数据提取工具现在安装在系统上,并通过RIP
命令使用:
# rip Rip v.2.8 - CLI RegRipper tool Rip [-r Reg hive file] [-f plugin file] [-p plugin module] [-l] [-h] Parse Windows Registry files, using either a single module, or a plugins file. -r Reg hive file...Registry hive file to parse -g ................Guess the hive file (experimental) -f [profile].......use the plugin file (default: plugins\plugins) -p plugin module...use only this module -l ................list all plugins -c ................Output list in CSV format (use with -l) -s system name.....Server name (TLN support) -u username........User name (TLN support) -h.................Help (print this information) Ex: C:\>rip -r c:\case\system -f system C:\>rip -r c:\case\ntuser.dat -p userassist C:\>rip -l -c All output goes to STDOUT; use redirection (ie, > or >>) to output to a file. copyright 2013 Quantum Analytics Research, LLC
安装所需的库
regipper命令行工具取决于perlparse :: win32registry
库。
以下Linux命令将把此库安装到“/usr/local/lib/rip-lib”目录中:
# mkdir /usr/local/lib/rip-lib # cpanm -l /usr/local/lib/rip-lib Parse::Win32Registry
日期:2020-07-07 20:57:01 来源:oir作者:oir