アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

RegRipper

H. Carvey 氏*1が RegRipper Basic edition 2.0A をリリースされていますね。

http://sourceforge.net/project/showfiles.php?group_id=164158
Ripping the Registry w/ rip.exe
http://windowsir.blogspot.com/2008/04/ripping-registry-w-ripexe.html

レジストリからデータを抽出するためのツールですが、フォレンジック調査方面でもいろいろ役立つツールだと思います。
手元で簡単に試してみましたが、コマンドラインから操作する rip.exe と GUI で操作する rrb.exe とプラグイン類から構成されており、プラグインによりレジストリ上の各種データが抽出、レポートファイル(テキスト)としてまとめられるようです。
rrb.exe を実行すると、解析対象のレジストリファイルとレポートの出力先を指定するようになってますので、例えば NTUSER.DAT や SYSTEM などを指定し、レポート出力場所を指定して「Rip It」を押せば簡単に実行できます。
プラグインが収集してくる情報は、インシデント・レスポンスやフォレンジック調査で一般的に確認が必要な項目でもあり、いろいろ参考になるのではないかとも思います。

*1:Windows Forensic Analysis本の著者の方ですね