Registeranalysator

Registry Ripper er et bærbart program for automatisk å analysere Registry Hives. Den vil analysere et valgt registerhive og eksportere funnene til et valgt tekstdokument. Registry Hives er låst av Windows-operativsystemet, noe som betyr at det er nødvendig å kopiere eller få tilgang til dem før operativsystemet kjører. Dette kan gjøres med en Live CD eller ved å starte opp et annet operativsystem som har tilgang til Windows-partisjonen.

De fleste av registerhefene er lokalisert i Windows system32 config-katalogen, men noen andre steder som Dokument og Innstillinger. For å analysere NTuser-bikuben vil man laste inn filen NTUSER.DAT som ligger i katalogen Documents and Settings username , velge et navn for tekstdokumentet i det andre trinnet, velge ntuser fra plugin-listen og klikke på Rip It knapp.



Analysen vil lagre forskjellige systeminformasjon i tekstdokumentet som er avhengig av den analyserte registerhiven. Analysen av NTuser-bikuben vil for eksempel avdekke informasjon om påloggingsbrukernavn, installerte applikasjoner, system- og fjernstasjoner, forskjellige nylige fillister, programmene som har blitt åpnet i det siste og programvare som vil starte med datasystemet.

registry analyzer

Registry Ripper er en registeranalysator som krever litt kunnskap om plasseringene til de forskjellige registerelvisene på datasystemet. Det sikter helt klart til mer avanserte brukere og kan gi brukeren all slags nyttig informasjon om et datasystem og dets brukere.