目录
- 介绍
- 步骤
- reg
- sports
介绍
RegRipper 是一个开源工具,用 Perl 编写,用于从注册表中提取/解析信息(键、值、数据)并将其呈现以供分析。 RegRipper 由两个基本工具组成,它们都提供类似的功能。 RegRipper GUI 允许分析人员选择要解析的配置单元、结果的输出文件以及针对配置单元运行的配置文件(插件列表)。 当分析师针对配置单元启动该工具时,结果将转到分析师指定的文件。 如果分析师选择解析系统配置单元,他们也可能选择将结果发送到 system.txt。 GUI 工具还将在与输出文件相同的目录中创建其活动日志,使用相同的文件名但使用 .log 扩展名(即,如果输出写入 system.txt,则日志将写入 系统日志)。
注册表修改是过去二十年来最常见的持久化技术。Run和RunOnce注册表项值允许在系统启动和用户登录时执行恶意文件。
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
步骤
reg
打开C:\Users\Administrator\Desktop\应急工具集\regripper文件夹,打开rr.exe
选择注册表文件并设置输出文件
点击rip输出文件,依次对每个注册表输出文件进行检索usb
在注册表system的输出文件中,搜索到关键字Get USB
sports
打开C:\Users\Administrator\Desktop\应急工具集\regripper文件夹,打开rr.exe
选择注册表文件并设置输出文件,点击rip输出文件
对输出文件筛选持久化恶意文件。查找已知的持久性注册表项,可以找到可执行文件,被添加到Run注册表中。
