Para quem não conhece, o RegRipper é um excelente programa desenvolvido em Perl por Harlan Carvey - que também é escritor de um dos livros listados recentemente em outro post.
Pois bem, recentemente o próprio Carvey divulgou que um analista (Paul Stutz) ao trabalhar no caso forense de hacking do CFReDS / NIST utilizou o script rip.pl e publicou os procedimentos utilizados em um documento online.
Gostaria de ressaltar a praticidade e velocidade da utilização desta excelente ferramenta com alguns exemplos de comandos simples executados para responder perguntas comuns em qualquer análise forense:
- Qual versão do sistema operacional do sistema analisado?
$ ./rip.pl -r /Volumes/Untitled/WINDOWS/system32/config/software -p winver
Launching winver v.20081210
ProductName = Microsoft Windows XP
InstallDate = Thu Aug 19 22:48:27 2004
- Qual é o TimeZone (Fuso Horário) do sistema?
$ ./rip.pl -r /Volumes/Untitled/WINDOWS/system32/config/system -p timezone
Launching timezone v.20080324
TimeZoneInformation key
ControlSet001\Control\TimeZoneInformation
LastWrite Time Thu Aug 19 17:20:02 2004 (UTC)
DaylightName -> Central Daylight Time
StandardName -> Central Standard Time
Bias -> 300 (6 hours)
ActiveTimeBias -> 360 (5 hours)
- Quais são os usuários registrados no sistema?
$ rip.pl -r evidence/registry/SAM -p samparse | grep UsernamePara muitos outros exemplos como os apresentados acima, recomendo a leitura do PDF.
Launching samparse v.20080415
Username: Administrator [500]
Username: Guest [501]
Username: HelpAssistant [1000]
Username: SUPPORT_388945a0 [1002]
Username: Mr. Evil [1003]
Fantástico! Vale a pena ler o PDF!
ReplyDeleteAbraço!
Nossa, eu usava uma versão muito velha do RegRipper.
ReplyDeleteValeu pela dica e referência do documento. Nos será realmente muito útil nos casos que trataremos daqui para a frente...
Renan, PC-ES
Sandro, muito bom este artigo.
ReplyDeleteSaudações,
Ricardo