Analizar las secciones o hives del registro de Windows con propósitos forenses es una tarea muy pesada, puesto que implica navegar por una estructura de texto compleja y enmarañada.
RegRipper es una herramienta portable que puede abrir secciones de registro y analizarlas, produciendo un resumen legible en un fichero de texto. Puesto que los ficheros del registro están bloqueados en una sesión normal, hay que copiar los ficheros o ejecutar RegRipper desde un live-cd.
Usar RegRipper es fácil. Tras ejecutar la interfaz gráfica, tienes que elegir primero el fichero de registro. Luego, tras especificar la ruta de guardado del informe y el tipo de plugin adecuado, el botón Rip It comenzará la lectura.
RegRipper es un programa apto sólo para usuarios avanzados, quienes valorarán su función de análisis rápido. Si bien se limita a la lectura, su uso requiere extremar precauciones y, sobre todo, conocer la ruta de los ficheros a analizar.
• Nota:
Para ejecutar RegRipper hay que descomprimir el fichero ZIP y ejecutar rr.exe
La mayoría de hives se encuentra en \Windows\system32\config y en el fichero NTUser.dat
• Requisitos mínimos de RegRipper:
· S.O.: Win2000/XP/Vista
http://regripper.net/RegRipper/RegRipper/rr_20080909.zip
RegRipper es una herramienta portable que puede abrir secciones de registro y analizarlas, produciendo un resumen legible en un fichero de texto. Puesto que los ficheros del registro están bloqueados en una sesión normal, hay que copiar los ficheros o ejecutar RegRipper desde un live-cd.
Usar RegRipper es fácil. Tras ejecutar la interfaz gráfica, tienes que elegir primero el fichero de registro. Luego, tras especificar la ruta de guardado del informe y el tipo de plugin adecuado, el botón Rip It comenzará la lectura.
RegRipper es un programa apto sólo para usuarios avanzados, quienes valorarán su función de análisis rápido. Si bien se limita a la lectura, su uso requiere extremar precauciones y, sobre todo, conocer la ruta de los ficheros a analizar.
• Nota:
Para ejecutar RegRipper hay que descomprimir el fichero ZIP y ejecutar rr.exe
La mayoría de hives se encuentra en \Windows\system32\config y en el fichero NTUser.dat
• Requisitos mínimos de RegRipper:
· S.O.: Win2000/XP/Vista
http://regripper.net/RegRipper/RegRipper/rr_20080909.zip