Analisis del registro de windows – RegRipper – Part II

En el post anterior empezamos a conocer y dar los primeros pasos con RegRipper, instalación, manejo básico, etc. en este post voy a intentar que se conozca un poco mejor esta herramienta y su flexibilidad para nuestra labor de forense .

En el anterior post hablábamos de rip.pl o rip.exe antes de empezar hoy quiero que veáis el rr.exe, que es básicamente un gui para rip que nos automatiza un poco las cosas, veamos que aspecto tiene:

 

Como podéis ver, su uso es bastante intuitivo… Seleccionar el HIVE, seleccionar la ruta y archivo de salida de la ejecución, y el perfil que queremos utilizar… veamos un ejemplo claro.

Si os fijáis en el resultado, podemos ver que nos ha dejado el reporte en F:\reportessoftwareall.txt y además ha creado un reportessoftwareall.log (donde nos muestra el log de la ejecución de los plugins y si ha habido algún error, etc.), además se observa que ha aplicado todos los plugins que se pueden aplicar a ese Hive, previa selección mía claro esta.

¿Podemos modificar ese profile?

Pues si, en el directorio de RegRipper hay otro directorio que se llama plugins y dentro encontraremos archivos sin extensión con el nombre de cada profile, en ellos se ve todos los plugins que ejecuta dicho profile. Bien podemos eliminar los plugins que no queramos ejecutar o ponerles una # delante para que parezcan un comentario y listo. Os he querido comentar este detalle porque si bien es cierto que el RR.exe nos automatiza el trabajo, tal vez no queráis ejecutarle todos los plugins a la vez, y solo necesitéis unos cuantos. Este método es el más sencillo, aunque otra forma de automatizar la ejecución de un conjunto de plugins sería creando un script y es un poco, solo un poco más engorroso, pero igualmente válido. Os adjunto un pantallazo del aspecto que tiene estos archivos.

Volvamos a nuestro rip.pl, hay una opción del rip.pl que nos permite también la ejecución de todos los plugins que se le pueden aplicar a un Hive, es la opción -f y utiliza los mismos archivos que RR.exe pero desde línea de comandos.

Como podéis ver, la herramienta es realmente flexible y práctica. A partir de aquí iba a poner unos ejemplo de ejecución de unos cuantos plugins, pero veo que en Internet hay ingentes cantidades de información al respecto, desde la web del autor con casos prácticos y he preferido mostraros un poco más el cómo funciona, que el mostraros X ejemplos de uso,  información que podéis encontrar fácilmente con lo que ya os he explicado o con una búsqueda sencilla en tito google. Como siempre la práctica hace al maestro y es evidente que con esta herramienta si no sabéis como funciona, como está estructurada y que opciones tiene, no podréis validarla en lab y comprobar si se ajusta a vuestras necesidades.

En mi caso, es una aplicación que no falta en mi caja de herramientas.

Espero que os guste el post. Como siempre los comentarios son siempre bien recibidos.

Analisis del registro de windows – RegRipper – Part I

Hoy toca hablar de RegRipper, aunque antes… deberíamos hablar del registro de windows, pero como hay mucha información sobre el mismo por internet y no me gusta repertir lo mismo una y otra vez, os agrego un par de links para los que no sepáis qué es el registro de windows y como está estructurado os vayáis haciendo a la idea.

En la Wikipedia: https://es.wikipedia.org/wiki/Registro_de_Windows

En MS:  https://support.microsoft.com/es-es/kb/256986

Maxim Suhanov, 2015-2016:  https://github.com/msuhanov/regf/blob/master/Windows%20registry%20file%20format%20specification.md

RegRipper, es una herramienta extensible con un gran número de plugins creado por Harlan Carvey aka @keydet89 en twitter y con esta más que recomendable web windowsir.blogspot.com  sus herramientas están desarrolladas en perl, aunque su creador también ha creado binarios con perl2exe para facilitarnos un poco la vida, gracias Harlan.

¿Y para que sirven sus herramientas?

PARA ANALIZAR EL REGISTRO DE WINDOWS, nos permitirá parsear el registro de windows y extraer información muy valiosa a la hora de realizar un análisis forense de un equipo.

Podremos analizar el registro offline, o sea, desde una imagen creada con anterioridad, existen otras herramientas, pero personalmente esta me encanta. Como he comentado anteriormente podemos ejecutar el script en perl o con los binarios, nos podremos descargar ambas desde aqui:

https://github.com/keydet89?tab=repositories  

Si quieres utilizar el script en perl, recomiendo que instales el activeperl y posteriormente instales el módulo en la que se basa gran parte del trabajo de RegRipper ( Parse::Win32Registry  de James Macfarlane), para instalarlo desde un CMD ejecutaremos lo siguiente:

Automáticamente se instalará el módulo y podremos empezar a trabajar, aunque también tenemos el binario rip.exe y rr.exe de momento voy a trabajar con la herramienta en perl. Antes de empezar, como recordatorio: Extraed los Hive y el ntuser.dat de sus correspondientes  ubicaciones en caso de que tengais encendido el equipo, con FTK los podréis extraer, ubicaciones habituales:

c:\windows\system32\config
c:\users\nombredeusuario\ntuser.dat

Empecemos a ver que nos permite hacer esta herramienta:

Lo primero, como siempre, recomiendo leer la ayuda que nos ofrece la herramienta para saber que opciones tenemos.

 

mmmmm, con -r elegimos el HIVE con el que queremos trabajar y con -p le pasamos el plugin a utilizar, bien, y además puedo sacar un listado de todos los plugins uepaaaaaa!!!!! veamos que pasa

Con la opción -l nos muestra todos los plugins, y el hive relacionado entre corches, además de una descripción. Vale, pero estaría bien poder exportarlo en algún tipo de formato más manejable como un csv, para eso tenemos la opción -c que con -l podemos redireccionar la salida a un .csv y posteriormente abrirlo desde excel, para no hacer demasiado extenso este post solo os pongo el comando en cuestión.

Así es como se verá el contenido desde la línea de comandos:

 

Y el comando para escribirlo en un archivo es este:

También podemos buscar un plugin en concreto con el | find “nombre plugin” ejemplo:

Y ahora podemos ejecutar rip.pl con el plugin  y el hive apropiado y tachan …. Obtenemos el Product name y la fecha de instalación….

Un momento, para que buscas el nombre del plugin en el listado, ¿me he perdido algo?

Sencillo, cuidado con el plugin que seleccionáis ya que nos podemos encontrar distintas versiones del mismo dependiendo del sistema operativo en cuestión, por ejemplo:

Ups, 2 versiones del auditpol, una para windows xp y otra para el resto…. bueno esto se tendrá que tener en cuenta para evitar confusiones y de momento hasta aquí el post de hoy, espero que os haya gustado esta primera parte,  continuaremos otro día y siempre intentado ser mejor.