Contribuez à SecuObs en envoyant des bitcoins ou des dogecoins.
Nouveaux articles (fr): 1pwnthhW21zdnQ5WucjmnF3pk9puT5fDF
Amélioration du site: 1hckU85orcGCm8A9hk67391LCy4ECGJca

Contribute to SecuObs by sending bitcoins or dogecoins.



RegRipper facilite l'extraction et l'analyse des bases de registre Microsoft Windows

Par Rédaction, secuobs.com
Le 04/03/2009


Résumé : RegRipper est une solution modulaire permettant d'extraire des informations spécifiques depuis les fichiers ruche des bases de registre Microsoft Windows et cela afin de faciliter leurs analyses et la recherche d'éventuelles évidences de compromission.



Maintenu par Harlan Carvey ( lien ), RegRipper est une solution d’audit pour extraire les paramètres d'installation et de configuration des systèmes Microsoft Windows depuis les fichiers ruche (SAM, Security, Software, System - lien ) de leur base de registre ( lien ) vers un fichier texte. Les informations récupérées sont classifiables de la façon suivante : fichiers, sécurité, installation du système, contrôle des périphériques, données utilisateur, applications lancées au démarrage du système, services, pilotes, configurations réseau, variables d’environnent et répertoires système.

Il est, entre autres, possible de récupérer la version de Microsoft Windows, le nom de l’ordinateur, les documents récemment ouverts, les utilisateurs et les groupes, les configurations du pare-feu Windows et les données d’assistance ( UserAssist - lien ). RegRipper utilise un système de modules pour restreindre ou étendre ses fonctionnalités en fonction des besoins utilisateur, on peut par exemple ajouter des fonctions d’automatisation de recherche comme la localisation des répertoires stockant les fichiers générés (Crash Dump) lors d’un dysfonctionnement applicatif, ou la récupération de la taille maximale allouée pour loguer les événements Windows.

L’extraction est réalisée sans utiliser WIN32API ( lien ), elle se base sur le module PERL Parse::Win32Registry ( lien ) pour accéder, comme à des objets ( lien ), aux sections logiques ( lien ) dans les fichiers ruche, les dates de modification des clés sont alors converties dans un format humainement compréhensible. RegRipper peut être utilisé avec les fichiers ruche des systèmes Microsoft Windows XP, Windows 2000 et Windows 2003. Pour Microsoft Windows Vista et Windows 2008, les tests ont été, selon l’auteur, limités mais concluants jusqu’à présent.

RegRipper, développé en PERL ( lien ), se présente en fait sous la forme d’un fichier exécutable « rip.exe » ( perl2exe - lien ), aucun pré-requis d’installation n’est nécessaire à son utilisation, ni à celle de son interface graphique « rr.exe ». La seule condition à son bon fonctionnement réside dans le fait que les exécutables et la librairie dynamique DLL ( lien ) « p2x588.dll » doivent être extraits vers le même répertoire depuis l’archive à récupérer ( lien ).

Les fichiers source « rr.pl » et « rip.pl » sont fournis à la racine de l’archive, tandis que les soixante modules initiaux sont situés dans le répertoire « plugins », une version de RegRipper compatible avec les systèmes d’exploitation de type GNU/Linux est par ailleurs disponible ( lien ), mais pas dans l’archive officielle. A noter que l’utilisation de RegRipper ne sera à l’origine d’aucune modification sur le système analysé, aucune entrée dans la base de registre n’étant nécessaire. Les documentations ( lien ) sont disponibles sur le site officiel ( lien ).

Alors que le module Regscan ( lien ) permet quant à lui de détecter les activités de codes malveillants comme Conflicker ( lien ) ou Trojan.Brisv.A ( lien ), un module pour Volatility ( - lien ) offre, outre la récupération ( lien ) directe des données registre dans la mémoire, la possibilité d’utiliser ( lien ) RegRipper sur une image mémoire ( EnCase - lien ).

RegRipper n’est pas prévu nativement pour analyser directement des fichiers ruche en cours d’utilisation, ce qui implique une analyse post-mortem, un export Regedit ( lien ) ou une extraction temps réel ( FTK Imager - lien ), ils peuvent aussi être accédés avec F-Response ( lien ). Cette dernière solution permet des opérations distantes de recherches de preuves via des canaux sécurisés de communication, les disques à analyser sont alors montées en lecture seule et en tant que lecteur local sur la machine de l’auditeur depuis l’auditée.

Vidéo de démonstration pour l’utilisation de RegRipper avec F-Response :




Source : SANS Internet Storm Center, InfoCON green ( lien )