Registry decoder is een tool waarmee forensisch onderzoek kan worden gedaan naar belangrijke gegevens in de Windows Registry bestanden. Er is zowel een online (voor live onderzoek) als offline versie. Ik heb zelf ervaring opgedaan met de offline versie. Onder de spartaanse interface zit een hoop functionaliteit verstopt. Registry Decoder kan nl. zelfstandig E01 en DD-images openen, alsmede uitgekopieerde Registry bestanden inlezen. Ook registrygegevens van backups en systeemherstel worden ingelezen. Die optie gaf bij mij problemen bij images van Windows XP systemen. De "current" registrybestanden van Windows XP werden wel probleemloos ingelezen.
Het registry-onderzoek is te automatiseren met behulp van de vele plugins van Registry Decoder. Binnen de kortste tijd heb je een overzicht van de gebruikers, versie en installatiegegevens van Windows, userassist, usbstor en nog heel veel meer. Ook een timeline kan worden vervaardigd. Alle aangetroffen gegevens kunnen als rapport worden geƫxporteerd naar Excel, HTML en PDF.
Ik vind Registry Decoder een aanwinst als het gaat om snel en gedetailleerd Registry onderzoek. De vele plugins vereenvoudigen en versnellen het onderzoek aanzienlijk. Kijk wel kritisch naar de geproduceerde datums en tijden, omdat de resultaten afhankelijk zijn van de tijdzone-instellingen van je onderzoeksmachine.
Website: http://www.digitalforensicssolutions.com/registrydecoder/
Geen opmerkingen:
Een reactie posten