でーたべーす

セキュリティに関することを書けたらな〜と思っています。

regripperの使い方メモ

備忘録 マルウェア フォレンジック

https://code.google.com/p/regripper/downloads/list
から、
「rrv2.5.zip」
をダウンロードし、解凍する。

プラグインは、
https://code.google.com/p/regripperplugins/downloads
から、
「regripperplugins_20130218.zip」
をダウンロードし、解凍する。
解凍したフォルダを、「rrv2.5.zipを解凍したフォルダ」内に移動する。
「regripperplugins_20130218.zipを解凍したフォルダ」を「plugins」とフォルダ名をリネームする。
※リネームしないと、プラグインへのパスが通らず、プラグインが使えないので。


●使い方
>rip.exe -p プラグイン名 -r レジストリハイブファイル


●注意点
UTCの時刻になっているので、日本だと+9時間を忘れないようにする必要がある。
・日本語表記のパスは、文字化けする。


自動起動設定の調査
・config\software
 HKLM\Software\Microsoft\Windows\CurrentVersion\Run
 >rip.exe -p soft_run -r config\software

 HKLM\Software\Microsoft\Windows\CurrentVersion\Run, RunOnce, RunServices
 >rip.exe -p soft_runplus -r config\software

 KB950582(Autorunの設定が無効化どうかチェック)
 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun
 >rip.exe -p KB950582 -r config\software

 HKLMのService
 >rip.exe -p services -r config\system
 Type = Own_Process
 Start = Auto Start
 となっているのが見るべきところ。

NTUSER.DAT
 HKCU\Software\Microsoft\Windows\CurrentVersion\Run
 >rip.exe -p user_run -r NTUSER.DAT

 HKCU\Software\Microsoft\Windows\CurrentVersion\Run, RunOnce, RunServices
 >rip.exe -p soft_runplus -r NTUSER.DAT

 Autorun設定(NoDriveTypeAutoRun)
 >rip.exe -p autorun -r NTUSER.DAT

 loadによるAutorun設定
 HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
 >rip.exe -p load -r NTUSER.DAT

 XPユーザーのAutorun設定(HKCU|Software\Microsoft\Windows\CurrentVersion\policies\Explorer\Run)
 >rip.exe -p logon_xp_run -r NTUSER.DAT


●プログラムの実行履歴
・UserAssist
 エクスプローラー経由で起動したアプリケーションがわかる。
 (エクスプローラーがプログラムの実行履歴を、ROT13の値で保存している。)

 HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

 >rip.exe -p userassist -r NTUSER.DAT(それぞれの実行時刻がわかる。)
 UEME_RUNPIDL:ショートカット、リンクからの実行等
 UEME_RUNPATH:ダブルクリック、ファイル名を指定して実行等
 UEME_RUNCPL:コントロールパネルを操作等


・MUICache
 アプリケーションを実行すると、実行ファイルからリソース情報を収集される。

 HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
 HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MUICache

 >rip.exe -p muicache -r NTUSER.DAT(最後に書かれた時刻だけわかる。)


・AppCompatCache(ShimCache)
 kernel32.dllの共有メモリをシャットダウン時にキャッシュ情報をWinlogonプロセスにより保存される。

 HKLM\System\CurrentControlSet\Control\SessionManager\AppCompatibility\AppCompatCache

 >rip.exe -p appcompatcache -r config\system

・Prefetch

 C:\Windows\Prefetch

 regripperでは見れないけれど、忘れないようにチェックする。


●ファイルの検索履歴
 Win32API経由で検索したとき
 >rip.exe -p acmru -r NTUSER.DAT


●USB機器の利用履歴
 >rip.exe -p usbstor -r config\system


●ネットワークドライブの情報
 User's Map Network Drive MRU
 >rip.exe -p mndmru -r NTUSER.DAT

●全部やる!
 >rip.exe -f software-all -r config\software
 >rip.exe -f security-all -r config\security
 >rip.exe -f sam-all -r config\sam
 >rip.exe -f system-all -r config\system
 >rip.exe -f ntuser-all -r NTUSER.DAT

EnCaseだと「View File Structure」すれば見れるので、やっぱり商用で高いだけあるかな。
フリーのregripperでもやれなくはないけど。
Citadelみたいに、レジストリに設定ファイルを保存するような場合は、
やはりEnCaseのように見れると便利で探しやすい気がする。