アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

RegExtract

Forensic Focusのフォーラムで RegRipper の出力結果を確認する手法について話題になっているみたいですが、フォレンジック調査で使えるレジストリのパースツールとして RegExtract というツールが提供されているみたいですね。

RegExtract
http://www.woany.co.uk/regextract/

.NET Framework 上で動作するみたいなので、ひょっとしてマルチバイトもいけるかなと思って試してみたのですが駄目っぽいです。下記は UserAssist*1の出力結果ですけど赤字部分が読めません。*2

2008/05/24 11:23:53
Name: UEME_RUNCPL:"C:\WINDOWS\system32\firewall.cpl",Windows Õ0¡0¤0¢0¦0©0Ü0Ë0
Count: 1

まぁ結果を比較するにしても、そもそも RegRipper だと日本語とか落ちるプラグインがあるので注意して使わないといけないわけですが、どうして最初から UNICODE 対応で作らないんでしょうかねぇ...

*1:sの数は大丈夫だなっと

*2:時々こいう文字列が日本語だと思って、日本語でちゃんと出てるぢゃん!と言ってくれる日本語読めない外人さんがいるんですけど、少なくともと私には読めません。まぁ読める人も世の中にはいるのかもしれないけど・・・