Análisis del Registro de Windows con RegRipper

En esta entrada veremos el proceso de instalación de RegRipper una herramienta de código abierto para el análisis del registro de Windows, adicionalmente aprenderemos a analizar algunos elementos útiles aprovechando los perfiles y complementos de RegRipper.

Instalación de RegRipper en Linux

Si en algún momento hicimos la instalación de regripper desde los repositorios ejecutamos sudo apt remove regripper para removerlo ya que la versión de los repositorios requiere el uso de wine.

sudo apt-get update

Instalamos algunos paquetes requeridos para la instalación de RegRipper y sus dependencias

sudo apt-get install git cpanminus

Cpanminus permite gestionar paquetes de perl, una vez instalado instalamos Win32Registry

sudo cpanm Parse::Win32Registry

sudo cpanm Parse::Win32Registry --force

En el repositorio de GitHub de Keydet89 encontraremos la versión estable de RegRipper, en este caso instalaremos la versión 2.8, nos ubicamos sobre el botón Clone or Download y luego clic en el icono de copiado de la url.

Y usamos el comando git clone para clonar el proyecto

git clone https://github.com/keydet89/RegRipper2.8.git

Esperamos que finalice el proceso de descarga e ingresamos a la carpeta de RegRipper

cd RegRipper2.8/

Creamos una carpeta en /usr/share para alojar los plugins y los copiamos

sudo mkdir -p /usr/share/regripper/

sudo cp -r plugins/ /usr/share/regripper/

Movemos el script de regripper

sudo mv rip.pl /usr/local/bin/rip.pl

Otorgamos permisos de ejecución

chmod +x /usr/local/bin/rip.pl

Recargamos la configuración

source ~/.bashrc

Al ejecutar el comando rip.pl nos aparece el siguiente mensaje de error, esto se debe a que el script viene configurado para ejecutarse en un entorno windows.

ejecutamos el comando which perl para identificar la ruta en la cuál está instalado el intérprete de perl en mi caso

Si editamos el script sudo vim /usr/local/bin/rip.pl encontraremos que en la primera línea apunta a perl.exe, modificamos este valor:

Establecemos la ruta que corresponde a nuestro sistema

Guardamos y salimos del archivo y ejecutamos nuevamente el script rip.pl

Sin embargo si intentamos listar los plugins rip.pl -l nos arrojará una serie de errores

Editamos nuevamente el script y quitamos los comentarios de la línea 61, 66 y 67


Por último debemos cambiar la ruta plugins por /usr/share/regripper/plugins, la forma más rápida es a través de sed, así que ejecutamos los siguientes comandos:

sudo sed -i 's/\"plugins\/\"\;/\"\/usr\/share\/regripper\/plugins\/\"\;/' /usr/local/bin/rip.pl

sudo sed -i 's/(\"plugins\")\;/(\"\/usr\/share\/regripper\/plugins\")\;/' /usr/local/bin/rip.pl

Validamos el funcionamiento correcto de regripper

rip.pl -l

Si todo está bien debe aparecer el listado de plugins

Instalación en Windows

Si alguno opta por instalar regripper en linux el proceso es más simple.

En el sitio de regripper de github descargamos el ZIP

Se descomprime el archivo y desde cmd nos ubicamos en la ruta en la cuál se descargo regripper

Análisis de las llaves de registro

Para explicar el uso de regripper les comparto unos archivos que corresponden al registro de windows de un CTF que armé hace unos años.

https://dvirus.training/wp-content/uploads/2020/03/Registry.tar.gz

Una vez descargados verificamos la integridad del archivo

sha1sum Registry.tar.gz

d541bf0f801e607dc54781d1fc31fae6aa4e3583 Registry.tar.gz

Desempaquetamos el archivo

tar -zxvf Registry.tar.gz

Ingresamos a la carpeta Registry y ejecutamos el comando file sobre los archivos

file *

Comenzamos con el análisis del archivo SYSTEM, -r hace referencia al archivo y -f al perfil en este caso el perfil es system

rip.pl -r SYSTEM -f system

Ahora vamos a comenzar a investigar algunos elementos puntuales a través de los plugins de regripper.

Zona horaria del sistema

rip.pl -r SYSTEM -p timezone

En este caso obtenemos que el sistema se encuentra en UTC, así que si estamos haciendo el análisis forense debemos tener esta información en cuenta.

Último apagado del sistema

rip.pl -r SYSTEM -p shutdown

Arquitectura del Procesador

rip.pl -r SYSTEM -p processor_architecture

Direccionamiento IP

rip.pl -r SYSTEM -p nic2

Ejecución de Archivos

Para confirmar la ejecución de archivos podemos usar el plugin de appcompatcache o shimcache, este artefacto retorna los archivos ejecutados con base en la información de los errores de compatibilidad a la hora de la ejecución.

rip.pl -r SYSTEM -p appcompatcache

rip.pl -r SYSTEM -p shimcache

Nombre del equipo

rip.pl -r SYSTEM -p compname

Recursos compartidos

rip.pl -r SYSTEM -p shares

Último usuario autenticado en el sistema

rip.pl -r SOFTWARE -p lastloggedon

Instalaciones de Software

rip.pl -r SOFTWARE -p installer

Versiones del Software Instalado

Versión del Sistema Operativo y Fecha de Instalación

rip.pl -r SOFTWARE -p winver

Con esto hemos concluído el uso básico de regripper, ahora es tiempo de practicar.

Laboratorio

Extraiga el archivo NTUSER.DATde su computador analice las siguientes opciones:

rip.exe -r NTUSER.DAT -p logonstats

rip.exe -r NTUSER.DAT -p proxysettings

rip.exe -r NTUSER.DAT -p recentapps

rip.exe -r NTUSER.DAT -p recentdocs

rip.exe -r NTUSER.DAT -p recentdocs_timeline

rip.exe -r NTUSER.DAT -p shellactivities

rip.exe -r NTUSER.DAT -p wordwheelquery

Referencias:

https://github.com/keydet89/RegRipper2.8

https://blog.dfir.fi/tools/2020/02/19/install-regripper.html

Deja un comentario