Análisis del Registro de Windows con RegRipper
En esta entrada veremos el proceso de instalación de RegRipper una herramienta de código abierto para el análisis del registro de Windows, adicionalmente aprenderemos a analizar algunos elementos útiles aprovechando los perfiles y complementos de RegRipper.
Contenido
Instalación de RegRipper en Linux
Si en algún momento hicimos la instalación de regripper desde los repositorios ejecutamos sudo apt remove regripper
para removerlo ya que la versión de los repositorios requiere el uso de wine.
sudo apt-get update
Instalamos algunos paquetes requeridos para la instalación de RegRipper y sus dependencias
sudo apt-get install git cpanminus
Cpanminus permite gestionar paquetes de perl, una vez instalado instalamos Win32Registry
sudo cpanm Parse::Win32Registry

sudo cpanm Parse::Win32Registry --force

En el repositorio de GitHub de Keydet89 encontraremos la versión estable de RegRipper, en este caso instalaremos la versión 2.8, nos ubicamos sobre el botón Clone or Download y luego clic en el icono de copiado de la url.

Y usamos el comando git clone para clonar el proyecto
git clone https://github.com/keydet89/RegRipper2.8.git
Esperamos que finalice el proceso de descarga e ingresamos a la carpeta de RegRipper
cd RegRipper2.8/
Creamos una carpeta en /usr/share para alojar los plugins y los copiamos
sudo mkdir -p /usr/share/regripper/
sudo cp -r plugins/ /usr/share/regripper/
Movemos el script de regripper
sudo mv rip.pl /usr/local/bin/rip.pl
Otorgamos permisos de ejecución
chmod +x /usr/local/bin/rip.pl
Recargamos la configuración
source ~/.bashrc
Al ejecutar el comando rip.pl nos aparece el siguiente mensaje de error, esto se debe a que el script viene configurado para ejecutarse en un entorno windows.

ejecutamos el comando which perl para identificar la ruta en la cuál está instalado el intérprete de perl en mi caso

Si editamos el script sudo vim /usr/local/bin/rip.pl
encontraremos que en la primera línea apunta a perl.exe, modificamos este valor:

Establecemos la ruta que corresponde a nuestro sistema

Guardamos y salimos del archivo y ejecutamos nuevamente el script rip.pl

Sin embargo si intentamos listar los plugins rip.pl -l
nos arrojará una serie de errores

Editamos nuevamente el script y quitamos los comentarios de la línea 61, 66 y 67

Por último debemos cambiar la ruta plugins por /usr/share/regripper/plugins, la forma más rápida es a través de sed, así que ejecutamos los siguientes comandos:
sudo sed -i 's/\"plugins\/\"\;/\"\/usr\/share\/regripper\/plugins\/\"\;/' /usr/local/bin/rip.pl
sudo sed -i 's/(\"plugins\")\;/(\"\/usr\/share\/regripper\/plugins\")\;/' /usr/local/bin/rip.pl
Validamos el funcionamiento correcto de regripper
rip.pl -l
Si todo está bien debe aparecer el listado de plugins

Instalación en Windows
Si alguno opta por instalar regripper en linux el proceso es más simple.
En el sitio de regripper de github descargamos el ZIP

Se descomprime el archivo y desde cmd nos ubicamos en la ruta en la cuál se descargo regripper

Análisis de las llaves de registro
Para explicar el uso de regripper les comparto unos archivos que corresponden al registro de windows de un CTF que armé hace unos años.
https://dvirus.training/wp-content/uploads/2020/03/Registry.tar.gz
Una vez descargados verificamos la integridad del archivo
sha1sum Registry.tar.gz
d541bf0f801e607dc54781d1fc31fae6aa4e3583 Registry.tar.gz
Desempaquetamos el archivo
tar -zxvf Registry.tar.gz
Ingresamos a la carpeta Registry y ejecutamos el comando file sobre los archivos
file *

Comenzamos con el análisis del archivo SYSTEM, -r hace referencia al archivo y -f al perfil en este caso el perfil es system
rip.pl -r SYSTEM -f system
Ahora vamos a comenzar a investigar algunos elementos puntuales a través de los plugins de regripper.
Zona horaria del sistema
rip.pl -r SYSTEM -p timezone

En este caso obtenemos que el sistema se encuentra en UTC, así que si estamos haciendo el análisis forense debemos tener esta información en cuenta.
Último apagado del sistema
rip.pl -r SYSTEM -p shutdown

Arquitectura del Procesador
rip.pl -r SYSTEM -p processor_architecture

Direccionamiento IP
rip.pl -r SYSTEM -p nic2

Ejecución de Archivos
Para confirmar la ejecución de archivos podemos usar el plugin de appcompatcache o shimcache, este artefacto retorna los archivos ejecutados con base en la información de los errores de compatibilidad a la hora de la ejecución.
rip.pl -r SYSTEM -p appcompatcache

rip.pl -r SYSTEM -p shimcache

Nombre del equipo
rip.pl -r SYSTEM -p compname

Recursos compartidos
rip.pl -r SYSTEM -p shares

Último usuario autenticado en el sistema
rip.pl -r SOFTWARE -p lastloggedon

Instalaciones de Software
rip.pl -r SOFTWARE -p installer

Versiones del Software Instalado

Versión del Sistema Operativo y Fecha de Instalación
rip.pl -r SOFTWARE -p winver

Con esto hemos concluído el uso básico de regripper, ahora es tiempo de practicar.
Laboratorio
Extraiga el archivo NTUSER.DATde su computador analice las siguientes opciones:
rip.exe -r NTUSER.DAT -p logonstats
rip.exe -r NTUSER.DAT -p proxysettings
rip.exe -r NTUSER.DAT -p recentapps
rip.exe -r NTUSER.DAT -p recentdocs
rip.exe -r NTUSER.DAT -p recentdocs_timeline
rip.exe -r NTUSER.DAT -p shellactivities
rip.exe -r NTUSER.DAT -p wordwheelquery
Referencias:
https://github.com/keydet89/RegRipper2.8
https://blog.dfir.fi/tools/2020/02/19/install-regripper.html
Deja un comentario