2008-04-10 今回の職場におけるオッズを昨日聞き忘れて二日酔い
■RegRipper
H. Carvey 氏*1が RegRipper Basic edition 2.0A をリリースされていますね。
http://sourceforge.net/project/showfiles.php?group_id=164158
Ripping the Registry w/ rip.exe
http://windowsir.blogspot.com/2008/04/ripping-registry-w-ripexe.html
レジストリからデータを抽出するためのツールですが、フォレンジック調査方面でもいろいろ役立つツールだと思います。
手元で簡単に試してみましたが、コマンドラインから操作する rip.exe と GUI で操作する rrb.exe とプラグイン類から構成されており、プラグインによりレジストリ上の各種データが抽出、レポートファイル(テキスト)としてまとめられるようです。
rrb.exe を実行すると、解析対象のレジストリファイルとレポートの出力先を指定するようになってますので、例えば NTUSER.DAT や SYSTEM などを指定し、レポート出力場所を指定して「Rip It」を押せば簡単に実行できます。
プラグインが収集してくる情報は、インシデント・レスポンスやフォレンジック調査で一般的に確認が必要な項目でもあり、いろいろ参考になるのではないかとも思います。
■RegRipperと日本語文字列
幾つか気になった点としては、出力されるタイムスタンプが UTC なので、タイムゾーンを設定する機能がないかなぁという点と、日本語文字列が以下のように化けるようです。
RecentDocs - recentdocs2 **All values printed in MRUListEx order. Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs LastWrite Time Wed Apr 9 07:38:22 2008 (UTC) 1 = í0ü0«0ë0 Ç0£0¹0¯0 (C:) 2 = åe,gžŠý?›R.txt 0 = åe,gžŠ ý?›R.txt Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\.txt LastWrite Time Wed Apr 9 01:59:17 2008 (UTC) 1 = åe,gžŠý?›R.txt 0 = åe,gžŠ ý?›R.txt Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs\Folder LastWrite Time Wed Apr 9 01:59:17 2008 (UTC) 0 = í0ü0«0ë0 Ç0£0¹0¯0 (C:)
ただ、なぜか TypedURL の日本語は下記のように正しく表示されるので、プラグインの影響?とかなのかもしれません。以下は昨日 IE の index.dat の文字列検証をやってた履歴ですが....
TypedURLs Software\Microsoft\Internet Explorer\TypedURLs LastWrite Time Wed Apr 9 02:14:31 2008 (UTC) url1 -> file:///C:/日本語 能力.txt url2 -> file:///C:/日本語能力.txt url3 -> file:///c:/日本語能力.txt url4 -> file:///c:/日本語%20能力.txt url5 -> http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome ----------------------------------------
<追記>
ぶしつけながら質問してみたら、タイムゾーンの変更とマルチバイトへの対応は「Not yet」という回答をもらえました。将来的には搭載されると嬉しいですね。
*1:Windows Forensic Analysis本の著者の方ですね
