火, 2009/03/03 - 00:06 — kazamiya
RegRipper and Volatility Prototype
http://moyix.blogspot.com/2009/03/regripper-and-volatility-prototype.html
いくつかのサイトで取り上げられていますが、メモリ上のレジストリ(ハイブ)ファイルを解析するVolatility Frameworkのプラグイン(volreg)とRegRipperのラッパ(volrip)が公開されています。
手順として以下のように紹介されています。
- プラグインとラッパをVolatilityのディレクトリ上に展開
- Volatilityのhivescanコマンド(プラグイン)を実行してハイブの物理アドレスを取得
- Volatilityのhivelistコマンド(プラグイン)を実行してハイブの仮想アドレスを取得
- 修正版rip.plを以下の形式で実行
# perl rip.pl -r メモリイメージファイル@仮想アドレス -f system
この手順により、RegRipperをハイブファイルに対して実行した結果のように、メモリイメージから各種レジストリ情報が得られるようです。よくわかっていないのですが、レジストリ情報(ハイブファイル)は全てメモリ上に展開されているということなのでしょうか。もう少し細かな検証は時間があるときに。
