@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

マルチバイト対応

ご存じの方も多いとは思いますが、フォレンジック調査で使えるレジストリの解析ツールとして、RegRipper というツールがあります。
本家 RegRipper では、プラグインファイルによってはレジストリ(キーまたは値)に含まれている日本語文字列が化けてしまうことがあります。また、プラグインが参照しているレジストリキーの名前が、“Save As”のように英語版を基準に記述されているケースもあり、日本語版ではレジストリキーが“名前を付けて保存”のように文字列パターンが異なっているケースでは、期待している値を正しく取れない状況が発生します。
そこで、本家RegRipperのプラグインをベースに、日本語などマルチバイトでも扱えるように隣の席の人に .NET Framework 版を作成していただきました。*1まだ完全版ではなく、プロトタイプに近いものですが、手元での検証ではそれなりに不具合も潰れていると思いますので、人柱になっていただける方はテストをお願いします。

開発記録帳
http://d.hatena.ne.jp/mark-of-distinction/

現状での制限事項や、独自に手を加えている部分や修正履歴は上記 Blog に書かれてますのでそちらを参照していただければです。不具合や変なところとか発見された方は、上記のBlogでコメントいただければ隣の席の人が直してくれるのではないかと思います。(GPLなので修正いただいたのを送っていただくのでもOKかと思いますが)

人柱になっていただける方はここからダウンロードできます。ダウンロードのURLは将来的には変更になる可能性があります。

*1:プラグインの内容はEXEに埋め込まれているので、修正を容易にするとかは今後の課題ですかね

使い方

基本的には本家と同じですが、実行環境に Microsoft .NET Framework 3.5 以上のインストールが必要になります。詳細は Readme.txt に記載されていますが、SAM・SECURITY のプラグインがまだ使えません。*1

Windows XP/Vistaレジストリで検証していますが、出力結果でまだおかしな点があるかもしれません。本家 RegRipper の出力結果と見比べるとかして確認いただくと安全かと思います。
あと、時刻の表示方法が本家と若干異なるので、タイムライン系のツールに入れる時にはそのままでは駄目かもしれません。

*1:なくてもそんなには困らないのではないかと思いますが・・・

出力結果の例

レポートファイルは UTF-16LE で出力されますので、Notepad.exe か Unicode が扱えるエディタを利用してください。

Launching RecentDocs plugin v.20080418
RecentDocs - recentdocs

All values printed in MRUList\MRUListEx order.

Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
LastWrite Time 2009/09/15 6:07:37 (UTC)
2 = サンプル ピクチャ
6 = Green Sea Turtle.jpg
5 = Frangipani Flowers.jpg
4 = Toco Toucan.jpg
3 = Oryx Antelope.jpg
1 = さんぷる画像をRARで固める.rar
0 = これは履歴のテストですよ.zip

                                                                                                                      • -

Launching OfficeDocs plugin v.20080324
officedocs v.20080324
MSOffice version 12 located.
Common\Open Find\Microsoft Office Word\Settings\名前を付けて保存\File Name MRU
LastWrite Time 2009/09/14 7:45:58 (UTC)
C:\Documents and Settings\hogehoge\My Documents\メモリ取得と解析.docx