4. Juni 2013

Auto-Rip Wrapper Script von Corey Harrell

by Regripper
Categories: Perl, Plugin
Tags: ,
Comments: Leave a Comment

Corey Harrell hat einen beispielhaften Ablaufplan für den Prozess einer forensischen Systemanalyse erstellt. Dieser enthält folgende Punkte um sich einen Systemüberblick nach der Image-Erstellung zu verschaffen:

  • Profile the System

- General Operating System Information
– User Account Information
– Software Information
– Networking Information
– Storage Locations Information

  • Examine the Programs Ran on the System
  • Examine the Auto-start Locations
  • Examine Host Based Logs for Activity of Interest
  • Examine Web Browsing
  • Examine User Profiles of Interest

- User Account Configuration Information
– User Account General Activity
– User Account Network Activity
– User Account File/Folder Access Activity
– User Account Virtualization Access Activity

  • Examine Communications

Ein wesentliches Mittel seiner Wahl ist hierzu ‘”Regripper“!. Um sich die Arbeit zu erleichtern hat er ein Skript geschrieben, welches er über die Registry-Files (SAM, Security, Software und System Hives) laufen lässt. Es handelt sich um ein Kommando-Zeilen Skript mit folgenden möglichen Parametern (Quelle: http://journeyintoir.blogspot.de/2013/05/unleashing-autorip.html):

  • auto_rip [-s path] [-n path] [-u path] [-c categories]

-h, –help lists all of the available options
-s, –system path to the folder containing the SAM, Security, Software, and System hives
-n, –ntuser path to the folder containing the NTUSER.DAT hive
-u, –usrclass path to the folder containing the UsrClass.dat hive
-c, –cat specifies the plug-in categories to run. Separate multiple categories with a comma

  • Supported Categories:

     all                  gets information from all categories
     os                  gets General Operating System Information
     users              gets User Account Information
     software         gets Installed Software Information
     network          gets Networking Configuration Information
     storage           gets Storage Information
     execution        gets Program Execution Information
     autoruns          gets Autostart Locations Information
     log                 gets Logging Information
     web                gets Web Browsing Information
     user_config      gets User Account Configuration Information
     user_act          gets User Account General Activity
     user_network    gets User Account Network Activity
     user_file          gets User Account File/Folder Access Activity
     user_virtual      gets User Account Virtualization Access Activity
     comm              gets Communication Software Information

  • Usage:

Extract all information from the SAM, Security, Software, and System hives.
C:\>auto_rip -s H:\Windows\System32\config -c all

Extract file and network access information from NTUSER.DAT hive (Windows XP user profile)
C:\>auto_rip -n “H:\Documents and Settings\Corey” -c user_network,user_file

Extract file access information from NTUSER.DAT and UsrClass.dat hive (Windows 7 profile)
C:\>auto_rip -n H:\Users\Corey -u H:\Users\Corey\AppData\Local\Microsoft\Windows -c user_file

Das Auto-Rip-Skript ist natürlich im Downloadbereich verfügbar. Das ZIP-File enthält die Dateien “auto_rip.pl” und “auto_rip.exe”. “Auto_rip.pl” arbeitet mit “rip.pl” während für “auto_rip.exe”  die Datei “rip.exe” aus dem Regripper-Paket benötigt. Von Corey Harrell wurde das Skript erfolgreich mit Windows und Linxu getestet. Damit das Skript richtig ausgeführt werden kann muss es im gleichen Verzeichnis/-pfad wie die Dateien “rip.pl” bzw. “rip.exe” gespeichert werden.

Einen ScreenShot und weitere Informationen über den Autor und das Skript gibt es unter:

  1. http://journeyintoir.blogspot.de/2013/05/unleashing-autorip.html
  2. http://windowsir.blogspot.de/2013/05/good-reading-tools.html

 


15. Mai 2013

Auf dem Weg zur Version 3.0 …

by Regripper
Categories: Info, Plugin
Tags: No Tags
Comments: Leave a Comment

…hat Harlan Carvey die Version 2.8 von “Regripper” & “rip” am 30. April 2013 veröffentlicht. Mit dabei ist eine FAQ mit den Antworten auf die meisten Fragen sowie ein 6-seitiges PDF, welches kurz auf die Windows Registry Analyse und Regripper eingeht (beide in englisch).

Zudem gibt es ein neues Update der Regripper Plugins auf die Version 20130429. Das Gesamtpaket liegt wie die neues Version 2.8 von Regripper natürlich im Downloadbereich bereit.

Auf eine Auflistung der Änderungen / Neuerungen der Plugins wird an dieser Stelle verzichtet …die Arbeit sparen wir uns an dieser Stelle und verweisen auf die Originalquelle unter https://code.google.com/p/regripper/wiki/UpdateHistory


2. Oktober 2012

RegripperPluginsPackage vom 26.09.2012 jetzt mit 236 Plugins

by Regripper
Categories: Info, Plugin
Tags: ,
Comments: Leave a Comment

Am 26.09.2012 wurde das neue und wahrscheinlich größte Update der Plugins seit erscheinen von Regripper veröffentlicht! Auf der Wiki zu den Updates sind die Neuerungen / Änderungen aufgeführt – hier der Originalauszug:

  • NEW PLUGIN by Harlan Carvey: “appcertdlls.pl” that gets entries from AppCertDlls key (SYSTEM)
  • NEW PLUGIN by Harlan Carvey: “appcompatcache.pl” that parses files from the Shim Cache (SYSTEM)
  • NEW PLUGIN by Harlan Carvey: “appcompatcache_tln.pl” that parses files from the Shim Cache, TLN output (SYSTEM)
  • NEW PLUGIN by Harlan Carvey: “applets_tln.pl” that gets the content of Applets key, TLN output (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “appspecific.pl” that gets contents of user’s Intellipoint\AppSpecific subkeys (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “ares.pl” that gets contents of user’s Software\Ares key (NTUSER)
  • NEW PLUGIN by Corey Harrell: “backuprestore.pl” that gets FilesNotToSnapshot, KeysNotToRestore, FilesNotToBackup (SYSTEM)
  • NEW PLUGIN by Harlan Carvey: “compatassist.pl” that checks user’s Compatibility Assistant\Persisted values (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “direct.pl” that searches Direct keys for MostRecentApplication subkeys (SOFTWARE)
  • NEW PLUGIN by Harlan Carvey: “direct_tln.pl” that searches Direct keys for MostRecentApplication subkeys, TLN output (SOFTWARE)
  • NEW PLUGIN by Corey Harrell: “disablesr.pl” that gets the on/off value for System Restore (SOFTWARE)
  • NEW PLUGIN by Harlan Carvey: “installer.pl” that determines products install information (SOFTWARE)
  • NEW PLUGIN by Harlan Carvey: “javafx.pl” that gets contents of user’s JavaFX key (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “legacy_tln.pl” that lists LEGACY entries in Enum\Root key, TLN output (SYSTEM)
  • NEW PLUGIN by Harlan Carvey: “networklist_tln.pl” that collects network info from NetworkList key, TLN output (SOFTWARE)
  • NEW PLUGIN by Harlan Carvey: “osversion.pl” that checks for OSVersion value, malware related (NTUSER)
  • NEW PLUGIN by Corey Harrell: “prefetch.pl” that gets the Prefetch Parameters (SYSTEM)
  • NEW PLUGIN by Harlan Carvey: “runmru_tln.pl” that gets contents of user’s RunMRU key, TLN output (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “shellbags.pl” that gets contents of users’s Shell/BagMRU keys, Windows7 (USRCLASS)
  • NEW PLUGIN by Harlan Carvey: “sysinternals.pl” that checks for SysInternals apps keys (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “sysinternals_tln.pl” that checks for SysInternals apps keys, TLN output (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “tracing.pl” that gets list of apps that can be traced (SOFTWARE)
  • NEW PLUGIN by Harlan Carvey: “tracing_tln.pl” that gets list of apps that can be traced, TLN output (SOFTWARE)
  • NEW PLUGIN by Harlan Carvey: “trustrecords.pl” that gets user’s Office 2010 TrustRecords values (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “trustrecords_tln.pl” that gets user’s Office 2010 TrustRecords values, TLN output (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “tsclient_tln.pl” that gets contents of user’s Terminal Server Client key, TLN output (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “typedpaths_tln.pl” that gets contents of user’s typedpaths key, TLN output (NTUSER)
  • NEW PLUGIN by Harlan Carvey: “userassist_tln.pl” that displays contents of UserAssist subkeys, TLN output (NTUSER)
  • NEW PLUGIN by Mari DeGrazia: “winbackup.pl” that gets Windows Backup settings (SOFTWARE)
  • NEW PLUGIN by Harlan Carvey: “wpdbusenum.pl” that gets WpdBusEnumRoot subkey info (SYSTEM)
  • UPDATE by Harlan Carvey to “legacy.pl“, added analysis tip (SYSTEM)
  • UPDATE by Harlan Carvey to “muicache.pl“, the plugin works both on NTUSER and/or USRCLASS hives (NTUSER,USRCLASS)
  • UPDATE by Harlan Carvey to “networklist.pl“, added NameType value reporting (SOFTWARE)
  • UPDATE by Harlan Carvey to “soft_run.pl“, added support to newer OS and 64 bits (SOFTWARE)
  • UPDATE by Harlan Carvey to “tsclient.pl“, added parsing of Servers key (NTUSER)
  • UPDATE by Harlan Carvey to “userassist.pl” (NTUSER)
  • REMOVED TEMPORARILY plugin “typedurlstime.pl“, postponed on next packages
  • REMOVED TEMPORARILY plugin “typedurlstime_tln.pl“, postponed on next packages
  • REMOVED plugin “bagtest.pl“, deprecated
  • REMOVED plugin “bagtest2.pl“, deprecated
  • REMOVED plugin “crashcontrol.pl“, too similar to “crashdump.pl
  • REMOVED plugin “filesnottosnapshot.pl“, superseded by “backuprestore.pl
  • REMOVED plugin “pstools.pl“, superseded by the more general “sysinternals.pl” plugin
  • REMOVED plugin “userassist2.pl“, deprecated since “userassist.pl” was updated
  • REMOVED plugin “vista_comdlg32.pl“, deprecated since “comdlg32.pl” was updated
  • REMOVED plugin “win7_ua.pl“, Windows7-RC and Vigenerè encryption are obsolete
  • NOTE added profile “usrclass-all” for USRCLASS.DAT hive
  • NOTE profiles all-all, ntuser-all, sam-all, security-all, software-all, system-all, usrclass-all were updated
  • NOTE profiles ‘-all’ DO NOT contain plugins TLN versions: you must create your own profiles or use them directly
  • NOTE source code repository was switched to GIT and it was aligned to the current release
  • NOTE RegRipperPluginsPackage (RRPP) now counts 236 plugins

5. Juli 2012

Update der Regripper-Plugins

by Regripper
Categories: Info, Plugin
Tags:
Comments: Leave a Comment

Aktuell gibt es eine kleine Flut von neuen Regripper-Plugins. Zur Vereinfachung haben wir nicht die beiden letzten Updates  vom 2.07.2012 und 03.07.2012 eingestellt, sondern gleich die neue Komplettversion vom 04.07.2012. ;-)

Die neuen Plugins enthalten u.a. die Möglichkeit aus der Windows 8 – Registry (NTUSER.DAT) die File-History auszulesen. Weiterhin wurden Plugins von Elizabeth Schweinsberg bereitgestellt, die den Inhalt von RUN, RUNONCE und RUNSERVICES aus der NTUSER.DAT sowie aus SOFTWARE auslesen. Zusätzlich stellt sie ein Plugin für die Ausgabe von Services (Dienste) und Drivers in CSV-Tabellen zur Verfügung. Mehr zu den Details auf unserer  Download-Seite.

Auf ihrer Webseite hat Elizabeth Schweinsberg noch eine Präsentation mit einigen Information über RegRipper eingestellt. Einfach mal anschauen … [LINK].


22. Mai 2012

Neues von Harlan Carvey – Regripper Version 2.5

by Regripper
Categories: Info
Tags: ,
Comments: Leave a Comment

H.Carvey hat am 25. April einen Fix/Patch für “Parse::win32Registry” veröffentlicht. Natürlich haben wir den Patch in unserer Download-Sektion hinzugefügt. Was aber überraschender ist, ist die Veröffentlichung der Version 2.5 von “RegRipper”….und laut seinem aktuellen Blog-Eintrag arbeitet er aktuell an der Version 3.0!!

Zusätzlich zur aktuellen RegRipper Version 2.5 haben wir noch das Perl-Skript für den Facebook-Chat-Parser in die Downloadliste aufgenommen. Einfach reinschauen: Downloads

Für weitere Informationen über den aktuellen Entwicklungstatus bzw. Roadmap sollte man auf seinem Blog unter http://windowsir.blogspot.de/2012/05/regripper-update-road-map.html mitlesen. Wer selbst an solchen Projekten und Entwicklungen beteiligt war weiss, dass sowas nicht in ein paar Tagen läuft. Also genügend Geduld mitbringen und sich vielleicht beteiligen oder Hilfe anbieten.


1. Februar 2012

3. Ausgabe von Windows Forensic Analysis Toolkit: Advanced Analysis Techniques for Windows 7

by Regripper
Categories: Info
Tags: ,
Comments: Leave a Comment

Harlan Carvey hat es wieder getan! Seit 31. Januar 2012 ist sein neuestes Werk auf dem Markt!

In der dritten Auflage zu “Windows Forensic Analysis” (WFA 3/e) hat sich Harlan Carvey den “Windows 7″-Systemen angenommen. Der Schwerpunkt liegt auf der Analyse von “Windows 7″-Systemen und Prozessen, welche mit Hilfe von freien & Open-Source-Werkzeugen betrachtet und ausgewertet werden.

Die 3. Ausgabe deckt die Bereiche “Live Response”, “File Analysis”, Malware-Erkennung, Zeitstempel- und Zeitleisten Erstellung und vieles mehr ab. Harlan Carvey zeigt realistisches Material aus eigenen Erfahrungen und zeigt Einblicke hinter die Kulissen der verschiedenen Funktionsweisen der behandelten Themen.

Das neue Buch ist jedoch nicht eigenständig, sondern als Ergänzung zur 2. Auflage (die Zeit vor Windows 7) zu verstehen. Es enthält eine vollständige Abdeckung und Beispiele zu “Windows 7″-Sytemen, Lektionen zur Fallanalyse sowie diverse Checklisten. Die Werkzeuge (Regripper und die Perl-Skripte) sind weiterhin frei auf unserer Seite sowie bei Harlan Carvey verfügbar!! Passend zum Buch haben wir natürlich alle Skripte auf unserer Download-Seite auf den aktuellen Stand gebracht.


19. Dezember 2011

Intro – “feel free to do so”

by Regripper
Categories: Info
Tags:
Comments: Leave a Comment

Mit freundlicher Erlaubnis von Harlan Carvey können wir seit heute einen offiziellen deutschen Mirror für “Regripper” anbieten. Natürlich hoffen wir auf rege Beteiligung von Interessierten, da das Tool eine erstaunliche Anzahl von Möglichkeiten bietet – sofern die notwendigen Plugins vorhanden sind.

In den folgenden Tagen werden in den Downloads die Plugins / Perl-Skripte sowie das gesamte Regripper-Paket hinzugefügt. Natürlich stehen die Informationen direkt von Harlan Carvey weiterhin im Original zur Verfügung:


 

RegRipper - Originalseite