15. Mai 2013

Auf dem Weg zur Version 3.0 …

by rip-admin — Categories: Info, PluginLeave a comment

…hat Harlan Carvey die Version 2.8 von “Regripper” & “rip” am 30. April 2013 veröffentlicht. Mit dabei ist eine FAQ mit den Antworten auf die meisten Fragen sowie ein 6-seitiges PDF, welches kurz auf die Windows Registry Analyse und Regripper eingeht (beide in englisch).

Zudem gibt es ein neues Update der Regripper Plugins auf die Version 20130429. Das Gesamtpaket liegt wie die neues Version 2.8 von Regripper natürlich im Downloadbereich bereit.

Auf eine Auflistung der Änderungen / Neuerungen der Plugins wird an dieser Stelle verzichtet …die Arbeit sparen wir uns an dieser Stelle und verweisen auf die Originalquelle unter https://code.google.com/p/regripper/wiki/UpdateHistory

2. Oktober 2012

RegripperPluginsPackage vom 26.09.2012 jetzt mit 236 Plugins

by rip-admin — Categories: Info, Plugin — Tags: , Leave a comment

Am 26.09.2012 wurde das neue und wahrscheinlich größte Update der Plugins seit erscheinen von Regripper veröffentlicht! Auf der Wiki zu den Updates sind die Neuerungen / Änderungen aufgeführt – hier der Originalauszug:

  • NEW PLUGIN by Harlan Carvey: “appcertdlls.pl” that gets entries from AppCertDlls key (SYSTEM)
  • NEW PLUGIN by Harlan Carvey: “appcompatcache.pl” that parses files from the Shim Cache (SYSTEM)
  • NEW PLUGIN by Harlan Carvey: “appcompatcache_tln.pl” that parses files from the Shim Cache, TLN output (SYSTEM)
  • NEW PLUGIN by Harlan Carvey: “applets_tln.pl” that gets the content of Applets key, TLN output (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “appspecific.pl” that gets contents of user’s Intellipoint\AppSpecific subkeys (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “ares.pl” that gets contents of user’s Software\Ares key (NTUSER)
  • NEW PLUGIN by Corey Harrell: “backuprestore.pl” that gets FilesNotToSnapshot, KeysNotToRestore, FilesNotToBackup (SYSTEM)
  • NEW PLUGIN by Harlan Carvey: “compatassist.pl” that checks user’s Compatibility Assistant\Persisted values (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “direct.pl” that searches Direct keys for MostRecentApplication subkeys (SOFTWARE)
  • NEW PLUGIN by Harlan Carvey: “direct_tln.pl” that searches Direct keys for MostRecentApplication subkeys, TLN output (SOFTWARE)
  • NEW PLUGIN by Corey Harrell: “disablesr.pl” that gets the on/off value for System Restore (SOFTWARE)
  • NEW PLUGIN by Harlan Carvey: “installer.pl” that determines products install information (SOFTWARE)
  • NEW PLUGIN by Harlan Carvey: “javafx.pl” that gets contents of user’s JavaFX key (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “legacy_tln.pl” that lists LEGACY entries in Enum\Root key, TLN output (SYSTEM)
  • NEW PLUGIN by Harlan Carvey: “networklist_tln.pl” that collects network info from NetworkList key, TLN output (SOFTWARE)
  • NEW PLUGIN by Harlan Carvey: “osversion.pl” that checks for OSVersion value, malware related (NTUSER)
  • NEW PLUGIN by Corey Harrell: “prefetch.pl” that gets the Prefetch Parameters (SYSTEM)
  • NEW PLUGIN by Harlan Carvey: “runmru_tln.pl” that gets contents of user’s RunMRU key, TLN output (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “shellbags.pl” that gets contents of users’s Shell/BagMRU keys, Windows7 (USRCLASS)
  • NEW PLUGIN by Harlan Carvey: “sysinternals.pl” that checks for SysInternals apps keys (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “sysinternals_tln.pl” that checks for SysInternals apps keys, TLN output (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “tracing.pl” that gets list of apps that can be traced (SOFTWARE)
  • NEW PLUGIN by Harlan Carvey: “tracing_tln.pl” that gets list of apps that can be traced, TLN output (SOFTWARE)
  • NEW PLUGIN by Harlan Carvey: “trustrecords.pl” that gets user’s Office 2010 TrustRecords values (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “trustrecords_tln.pl” that gets user’s Office 2010 TrustRecords values, TLN output (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “tsclient_tln.pl” that gets contents of user’s Terminal Server Client key, TLN output (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “typedpaths_tln.pl” that gets contents of user’s typedpaths key, TLN output (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “userassist_tln.pl” that displays contents of UserAssist subkeys, TLN output (NTUSER)
  • NEW PLUGIN by Mari DeGrazia: “winbackup.pl” that gets Windows Backup settings (SOFTWARE)
  • NEW PLUGIN by Harlan Carvey: “wpdbusenum.pl” that gets WpdBusEnumRoot subkey info (SYSTEM)
  • UPDATE by Harlan Carvey to “legacy.pl“, added analysis tip (SYSTEM)
  • UPDATE by Harlan Carvey to “muicache.pl“, the plugin works both on NTUSER and/or USRCLASS hives (NTUSER,USRCLASS)
  • UPDATE by Harlan Carvey to “networklist.pl“, added NameType value reporting (SOFTWARE)
  • UPDATE by Harlan Carvey to “soft_run.pl“, added support to newer OS and 64 bits (SOFTWARE)
  • UPDATE by Harlan Carvey to “tsclient.pl“, added parsing of Servers key (NTUSER)
  • UPDATE by Harlan Carvey to “userassist.pl” (NTUSER)
  • REMOVED TEMPORARILY plugin “typedurlstime.pl“, postponed on next packages
  • REMOVED TEMPORARILY plugin “typedurlstime_tln.pl“, postponed on next packages
  • REMOVED plugin “bagtest.pl“, deprecated
  • REMOVED plugin “bagtest2.pl“, deprecated
  • REMOVED plugin “crashcontrol.pl“, too similar to “crashdump.pl
  • REMOVED plugin “filesnottosnapshot.pl“, superseded by “backuprestore.pl
  • REMOVED plugin “pstools.pl“, superseded by the more general “sysinternals.pl” plugin
  • REMOVED plugin “userassist2.pl“, deprecated since “userassist.pl” was updated
  • REMOVED plugin “vista_comdlg32.pl“, deprecated since “comdlg32.pl” was updated
  • REMOVED plugin “win7_ua.pl“, Windows7-RC and Vigenerè encryption are obsolete
  • NOTE added profile “usrclass-all” for USRCLASS.DAT hive
  • NOTE profiles all-all, ntuser-all, sam-all, security-all, software-all, system-all, usrclass-all were updated
  • NOTE profiles ‘-all’ DO NOT contain plugins TLN versions: you must create your own profiles or use them directly
  • NOTE source code repository was switched to GIT and it was aligned to the current release
  • NOTE RegRipperPluginsPackage (RRPP) now counts 236 plugins

5. Juli 2012

Update der Regripper-Plugins

by rip-admin — Categories: Info, Plugin — Tags: Leave a comment

Aktuell gibt es eine kleine Flut von neuen Regripper-Plugins. Zur Vereinfachung haben wir nicht die beiden letzten Updates  vom 2.07.2012 und 03.07.2012 eingestellt, sondern gleich die neue Komplettversion vom 04.07.2012. ;-)

Die neuen Plugins enthalten u.a. die Möglichkeit aus der Windows 8 – Registry (NTUSER.DAT) die File-History auszulesen. Weiterhin wurden Plugins von Elizabeth Schweinsberg bereitgestellt, die den Inhalt von RUN, RUNONCE und RUNSERVICES aus der NTUSER.DAT sowie aus SOFTWARE auslesen. Zusätzlich stellt sie ein Plugin für die Ausgabe von Services (Dienste) und Drivers in CSV-Tabellen zur Verfügung. Mehr zu den Details auf unserer  Download-Seite.

Auf ihrer Webseite hat Elizabeth Schweinsberg noch eine Präsentation mit einigen Information über RegRipper eingestellt. Einfach mal anschauen … [LINK].

22. Mai 2012

Neues von Harlan Carvey – Regripper Version 2.5

by rip-admin — Categories: Info — Tags: , Leave a comment

H.Carvey hat am 25. April einen Fix/Patch für “Parse::win32Registry” veröffentlicht. Natürlich haben wir den Patch in unserer Download-Sektion hinzugefügt. Was aber überraschender ist, ist die Veröffentlichung der Version 2.5 von “RegRipper”….und laut seinem aktuellen Blog-Eintrag arbeitet er aktuell an der Version 3.0!!

Zusätzlich zur aktuellen RegRipper Version 2.5 haben wir noch das Perl-Skript für den Facebook-Chat-Parser in die Downloadliste aufgenommen. Einfach reinschauen: Downloads

Für weitere Informationen über den aktuellen Entwicklungstatus bzw. Roadmap sollte man auf seinem Blog unter http://windowsir.blogspot.de/2012/05/regripper-update-road-map.html mitlesen. Wer selbst an solchen Projekten und Entwicklungen beteiligt war weiss, dass sowas nicht in ein paar Tagen läuft. Also genügend Geduld mitbringen und sich vielleicht beteiligen oder Hilfe anbieten.

1. Februar 2012

3. Ausgabe von Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 7

by rip-admin — Categories: Info — Tags: , Leave a comment

Harlan Carvey hat es wieder getan! Seit 31. Januar 2012 ist sein neuestes Werk auf dem Markt!

In der dritten Auflage zu “Windows Forensic Analysis” (WFA 3/e) hat sich Harlan Carvey den “Windows 7″-Systemen angenommen. Der Schwerpunkt liegt auf der Analyse von “Windows 7″-Systemen und Prozessen, welche mit Hilfe von freien & Open-Source-Werkzeugen betrachtet und ausgewertet werden.

Die 3. Ausgabe deckt die Bereiche “Live Response”, “File Analysis”, Malware-Erkennung, Zeitstempel- und Zeitleisten Erstellung und vieles mehr ab. Harlan Carvey zeigt realistisches Material aus eigenen Erfahrungen und zeigt Einblicke hinter die Kulissen der verschiedenen Funktionsweisen der behandelten Themen.

Das neue Buch ist jedoch nicht eigenständig, sondern als Ergänzung zur 2. Auflage (die Zeit vor Windows 7) zu verstehen. Es enthält eine vollständige Abdeckung und Beispiele zu “Windows 7″-Sytemen, Lektionen zur Fallanalyse sowie diverse Checklisten. Die Werkzeuge (Regripper und die Perl-Skripte) sind weiterhin frei auf unserer Seite sowie bei Harlan Carvey verfügbar!! Passend zum Buch haben wir natürlich alle Skripte auf unserer Download-Seite auf den aktuellen Stand gebracht.

19. Dezember 2011

Intro – “feel free to do so”

by rip-admin — Categories: Info — Tags: Leave a comment

Mit freundlicher Erlaubnis von Harlan Carvey können wir seit heute einen offiziellen deutschen Mirror für “Regripper” anbieten. Natürlich hoffen wir auf rege Beteiligung von Interessierten, da das Tool eine erstaunliche Anzahl von Möglichkeiten bietet – sofern die notwendigen Plugins vorhanden sind.

In den folgenden Tagen werden in den Downloads die Plugins / Perl-Skripte sowie das gesamte Regripper-Paket hinzugefügt. Natürlich stehen die Informationen direkt von Harlan Carvey weiterhin im Original zur Verfügung:

 

RegRipper - Originalseite

 

 

 

© 2013 Regripper.org All rights reserved - Mobile View - Powered by WordPress and Wallow - Have fun!