Mesin parsing registri ditulis dalam standar C / C + + dan tidak memiliki dependensi pada registri Windows fungsi API. Ini berarti mesin parsing mungkin mengalami kesulitan pada kondisi batas tertentu belum teruji. Bagian GUI dari 'yaru' memanfaatkan dari FOX (Objek Gratis untuk X) perpustakaan, yang dirancang untuk lintas platform. Saat ini ada versi terkompilasi dari 'yaru' yang akan berjalan pada Windows dan Linux (Saat ini tidak tersedia untuk Mac OS X).
Sebuah fitur digabungkan dengan versi Windows yaru, adalah kemampuan untuk mengambil snapshot dari sarang yang sedang berjalan (s) dan memeriksa mereka. Sejak Windows OS kunci bawah sarang aktif dari proses lainnya membaca mereka, 'yaru' dapat resor ke disk NTFS baku membaca untuk membaca salah satu sarang yang diinginkan. Akibatnya, ini mengharuskan pengguna untuk menjalankan alat ini dengan hak akses administratif. Meskipun pendekatan ini menambah kompleksitas yaru, memastikan bahwa tidak ada korupsi atau perubahan ke sarang aktif selama analisis.
Baru-baru ini ada beberapa diskusi dan posting online tentang memulihkan kunci registri dihapus. Sejumlah sumber berbicara tentang artefak registri khusus yang tersedia setelah tombol telah dihapus. Mengambil dari penelitian empiris, saya bisa tidak hanya menemukan kunci registri dihapus, tetapi dalam kasus-kasus tertentu, mampu merekonstruksi informasi konteks tambahan, seperti di mana mereka dihapus dari.
Fungsi dasar lainnya meliputi:
a. Tampilkan dialokasikan (tapi tidak terpakai) nilai ruang data kunci [disebut di sini sebagai ruang sel kendur].
b. Menunjukkan ruang yang tidak terisi sarang [yang disebut di sini sebagai ruang kendur sarang].
c. Mampu melintasi ruang sepi sarang dan menghitung kunci dihapus [eksperimental].
d. Laporan kemampuan generasi. Untuk umum artefak forensik registri, sejumlah pilihan yang tersedia untuk menghasilkan laporan dari sarang hidup, salinan gatal-gatal atau gatal-gatal dari partisi unmount.
e. Penebangan Opsional kemampuan yang mencatat pilihan pengguna serta nilai-nilai data ke sebuah file XML terpisah untuk diperiksa nanti.
f. Kemampuan untuk mengekspor tombol apa saja di dalam sarang di bawah evaluasi untuk sebuah file (. Reg) pendaftaran yang akan digunakan untuk analisis. Format ini mencoba untuk meniru versi 5.00 dari editor registri Windows, dengan beberapa metadata tambahan dalam bentuk berkomentar.
g. Kemampuan untuk memproses sarang menggunakan template yang ditetapkan pengguna. Template ini memungkinkan seseorang untuk menyesuaikan data apa yang akan diekstraksi. Meskipun template ini memiliki satu set perintah yang sangat primitif, mereka dapat berguna untuk tugas yang berulang.
h. Kemampuan pencarian sederhana: nama kunci, nama nilai, rentang tanggal, atau pola byte.
i. Kemampuan untuk melihat registry hives dari disk VMWare monolitik (VMDK) file.
Download
yaru 32 bit
yaru 64 bit
0 komentar:
Posting Komentar
Pengunjung yang baik selalu meninggalkan jejak untuk Admin dan gunakan nama anda saat berkomentar