python注册表分析器
regip的Python项目详细描述
区域性
regipy是一个用于解析离线注册表配置单元的python库!
功能:
- 用作库
- 从根目录或给定路径在注册表配置单元上递归,并获取所有子项和值
- 读取特定的子键和值
- 在注册表配置单元上应用事务日志
- 命令行工具:
- 将整个注册表配置单元转储到json
- 在注册表配置单元上应用事务日志
- 比较注册表配置单元
- 从健壮的插件系统(即:amcache、shimcache、extract computer name…)执行插件
Project page: | https://github.com/mkorman90/regipy |
---|
用作库:
fromregipy.registryimportRegistryHivereg=RegistryHive('/Users/martinkorman/Documents/TestEvidence/Registry/Vibranium-NTUSER.DAT')# Iterate over a registry hive recursively:forentryinreg.rec_subkeys(as_json=True):print(entry)# Iterate over a key and get all subkeys and their modification time:forskinreg.get_key('Software').get_subkeys():print(sk.name,convert_wintime(sk.header.last_modified).isoformat())# Get values from a specific registry key:reg.get_key('Software\Microsoft\Internet Explorer\BrowserEmulation').get_values(as_json=True)# Use plugins:fromregipy.plugins.ntuser.ntuser_persistenceimportNTUserPersistencePluginNTUserPersistencePlugin(reg,as_json=True).run()# Run all supported plugins on a registry hive:run_relevant_plugins(reg,as_json=True)
安装
pip install regipy