TZWORKS YARU 2021 V1.83 WINALL

TZWORKS.YARU.2021.V1.83.WINALL-TEL

 

TZWORKS | 2021 | EXE | RAR | 2,41 MB | WINDOWS

Yet Another Registry Utility (yaru) ist ein plattformunabhängiger Windows-Registrierungsbetrachter. Inspiriert von dem Wunsch, einen Blick in die Metadaten der Windows-Registrierung zu werfen, um die Registry-Hives besser forensisch analysieren zu können, wurde yaru mit Blick auf eine portable und erweiterbare Architektur entwickelt, so dass es für verschiedene Betriebssysteme kompiliert werden kann.

Die Registry Parsing Engine ist in Standard C/C++ geschrieben und hat keine Abhängigkeiten von den Windows Registry API Funktionen.

Die Windows-Version von yaru ist in der Lage, einen Schnappschuss von jedem der aktiven Hives zu machen und die interne Struktur des Hives zu untersuchen. Da das Windows-Betriebssystem die aktiven Hives gegen das Lesen durch andere Prozesse sperrt, kann yaru auf rohe NTFS-Festplattenlesevorgänge zurückgreifen, um alle gewünschten Hives zu lesen. Folglich muß der Benutzer dieses Werkzeug mit administrativen Rechten ausführen. Dieser Ansatz erhöht zwar die Komplexität von yaru, stellt aber sicher, daß alle Metadaten für die Analyse zur Verfügung stehen und daß der aktive Hive während der Analyse nicht beschädigt oder verändert wird.

Einige andere rudimentäre Funktionen umfassen:

        Anzeige des zugewiesenen (aber ungenutzten) Schlüsselwert-Datenraums.
        Anzeige des nicht zugewiesenen Hive-Speicherplatzes.
        Durchsuchen des Hive-Schlupfspeichers und Aufzählen gelöschter Schlüssel.
        Fähigkeit zur Erstellung von Berichten.
        Optionale Protokollierungsfunktion, die die Benutzerauswahlen zusammen mit den Datenwerten in einer separaten XML-Datei zur späteren Überprüfung aufzeichnet.
        Möglichkeit, jeden beliebigen Schlüssel im untersuchten Hive in eine Registrierungsdatei (.reg) zu exportieren, die für die Analyse verwendet werden kann.
        Möglichkeit, jeden Hive mit benutzerdefinierten Vorlagen zu verarbeiten.
        Einfache Suchfunktion: (a) Schlüsselnamen, (b) Wertnamen, (c) Datumsbereiche und (e) Zeichenketten
        Die Möglichkeit, zu überprüfen, ob alle zugewiesenen Chunks gültige Verknüpfungen zur Registrierung haben.
       
Wenn ein Hive in yaru geladen wird, wird der Hive in 4 Hauptsegmente unterteilt: (a) die normalen Hive-Daten, die mit den normalen Registrierungseditoren angezeigt werden können, (b) der nicht zugewiesene Speicherplatz innerhalb des Hives, (c) jeder zugewiesene Speicherplatz, der einen übergeordneten Schlüssel haben sollte, aber nicht hat, und (d) alle gelöschten Schlüssel und ihre zugehörigen Werte, die nicht überschrieben wurden.

Wenn Sie einen der Schlüssel oder die zugehörigen Werte durchsuchen, werden alle Metadaten angezeigt, ohne Rücksicht auf die Rechte des Benutzers, der yaru ausführt. Abhängig von der Lizenz, die Sie besitzen, werden jedoch einige der Informationen möglicherweise nicht angezeigt.

Bei der Rekonstruktion von gelöschten Schlüsseln/Werten tut yaru sein Bestes, um die gelöschten Einträge in den richtigen Kontext zu setzen, in dem sie sich in der gesamten Hive-Hierarchie befanden. Manchmal ist dies nicht möglich, wenn einer der Knoten in der Hierarchie bei der Wiederverwendung von Speicherplatz überschrieben wurde. yaru zeigt deutlich an, wenn es nicht den gesamten Pfad zum übergeordneten Stammschlüssel vervollständigen kann, indem es diese Einträge im Ordner "unk_path" gruppiert.

Sie können alle gelöschten Schlüssel zusammen mit den zugehörigen übergeordneten Schlüsseln, die nicht gelöscht wurden, exportieren, indem Sie mit der rechten Maustaste auf den Ordner klicken und eine der Optionen "Schlüssel exportieren" auswählen.

Die exportierten Schlüssel und Werte werden im Format des Windows-Registrierungseditors Version 5.00 dargestellt. Wenn ein gelöschter Schlüssel einen übergeordneten Schlüssel in der Hierarchie hat, der nicht gelöscht wird, werden auch diese angezeigt. Nachfolgend sehen Sie einen Ausschnitt aus einem gelöschten Schlüssel und wie die Ausgabe aussieht.

Eine der nützlichsten Funktionen von yaru ist die Möglichkeit, Berichte zu erstellen. Diese Berichte können auf den Live-System-Hive oder den Hive abzielen, der explizit in yaru geladen wurde.

BETRIEBSSYSTEM:

WINDOWS

.TEL\VERLASSEN