regipper命令例子

列出所有可用插件：

$rip -l -c

列出由用户安装的软件：

$rip -p listsoft -r NTUSER.DAT
Launching listsoft v.20080324
listsoft v.20080324
(NTUSER.DAT) Lists contents of user's Software key
listsoft v.20080324
List the contents of the Software key in the NTUSER.DAT hive
file, in order by LastWrite time.
Mon Dec 14 06:06:41 2014Z       Google
Mon Dec 14 05:54:33 2014Z       Microsoft
Sun Dec 29 16:44:47 2013Z       Bitstream
Sun Dec 29 16:33:11 2013Z       Adobe
Sun Dec 29 12:56:03 2013Z       Corel
Thu Dec 12 07:34:40 2013Z       Clients
Thu Dec 12 07:34:40 2013Z       Mozilla
Thu Dec 12 07:30:08 2013Z       MozillaPlugins
Thu Dec 12 07:22:34 2013Z       AppDataLow
Thu Dec 12 07:22:34 2013Z       Wow6432Node
Thu Dec 12 07:22:32 2013Z       Policies

使用插件提取所有可用信息，并将其保存到case1.txt.文件中：

$for i in $( rip -l -c | grep NTUSER.DAT | cut -d , -f1 ); do rip -p $i -r NTUSER.DAT &>> case1.txt ; done

安装RegRipper脚本

该脚本旨在在MS Windows系统上运行，因此我们需要进行一些小修改。
我们还将包含上面安装的路径parse :: win32registry库 。

从https://regripper.googlecode.com/files/下载RegRipper源代码：

#  wget -q https://regripper.googlecode.com/files/rrv2.8.zip

提取RIP.PL脚本：

# unzip -q rrv2.8.zip rip.pl

删除interpretor行以及不需要的DOS新行字符^ M：

# tail -n +2 rip.pl > rip
# perl -pi -e 'tr[\r][]d' rip

修改脚本以包含与Linux系统相关的解释器，也包括库路径到“Parse :: Win32Registry”：

# sed -i "1i #!`which perl`" rip
# sed -i '2i use lib qw(/usr/local/lib/rip-lib/lib/perl5/);' rip

安装RegRipperRIP脚本并使其可执行文件：

# cp rip /usr/local/bin
# chmod +x /usr/local/bin/rip

regipper是一个用于Windows注册表数据提取命令行或者GUI开源工具。

准备工作

首先，我们需要安装所有前提条件。

DEBIAN/UBUNTU
# apt-get install cpanminus make unzip wget
FEDORA
# dnf install perl-App-cpanminus.noarch make unzip wget perl-Archive-Extract-gz-gzip.noarch which
CENTOS/REDHAT
# yum install  perl-App-cpanminus.noarch make unzip wget perl-Archive-Extract-gz-gzip.noarch which

RegRipper插件安装

最后，我们需要安装RegRipper的插件。

# wget -q https://regripper.googlecode.com/files/plugins20130429.zip
# mkdir /usr/local/bin/plugins 
# unzip -q plugins20130429.zip -d /usr/local/bin/plugins

reftper注册表数据提取工具现在安装在系统上，并通过RIP命令使用：

# rip
Rip v.2.8 - CLI RegRipper tool
Rip [-r Reg hive file] [-f plugin file] [-p plugin module] [-l] [-h]
Parse Windows Registry files, using either a single module, or a plugins file.
  -r Reg hive file...Registry hive file to parse
  -g ................Guess the hive file (experimental)
  -f [profile].......use the plugin file (default: plugins\plugins)
  -p plugin module...use only this module
  -l ................list all plugins
  -c ................Output list in CSV format (use with -l)
  -s system name.....Server name (TLN support)
  -u username........User name (TLN support)
  -h.................Help (print this information)

Ex: C:\>rip -r c:\case\system -f system
    C:\>rip -r c:\case\ntuser.dat -p userassist
    C:\>rip -l -c
All output goes to STDOUT; use redirection (ie, > or >>) to output to a file.

copyright 2013 Quantum Analytics Research, LLC

安装所需的库

regipper命令行工具取决于perlparse :: win32registry库。
以下Linux命令将把此库安装到“/usr/local/lib/rip-lib”目录中：

# mkdir /usr/local/lib/rip-lib
#  cpanm -l /usr/local/lib/rip-lib Parse::Win32Registry