regripper
●プログラムの実行履歴
・UserAssist
エクスプローラー経由で起動したアプリケーションがわかる。
(エクスプローラーがプログラムの実行履歴を、ROT13の値で保存している。)
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
>rip.exe -p userassist -r NTUSER.DAT(それぞれの実行時刻がわかる。)
UEME_RUNPIDL:ショートカット、リンクからの実行等
UEME_RUNPATH:ダブルクリック、ファイル名を指定して実行等
UEME_RUNCPL:コントロールパネルを操作等
・MUICache
アプリケーションを実行すると、実行ファイルからリソース情報を収集される。
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
HKCU\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MUICache
>rip.exe -p muicache -r NTUSER.DAT(最後に書かれた時刻だけわかる。)
・AppCompatCache(ShimCache)
kernel32.dllの共有メモリをシャットダウン時にキャッシュ情報をWinlogonプロセスにより保存される。
HKLM\System\CurrentControlSet\Control\SessionManager\AppCompatibility\AppCompatCache
>rip.exe -p appcompatcache -r config\system
