Reg Hunter 使用教程
项目介绍
Reg Hunter 是一个用于蓝队操作性排查的注册表狩猎/取证工具。它旨在不仅仅局限于注册表排查和狩猎,还希望成为一个独立的排查/狩猎工具,用于所有Windows持久化机制。该项目由Brian Kellogg开发,采用MIT许可证。
项目快速启动
安装 Rust
首先,确保你已经安装了Rust编程语言。你可以通过以下命令安装Rust:
curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh
克隆项目
克隆Reg Hunter项目到本地:
git clone https://github.com/theflakes/reg_hunter.git
cd reg_hunter
构建项目
根据你的操作系统,选择合适的构建命令。例如,对于Windows 64位系统:
cargo build --release --target x86_64-pc-windows-msvc
运行工具
构建完成后,你可以运行以下命令来查看帮助信息:
./target/release/reg_hunter --help
应用案例和最佳实践
查找恶意注册表项
假设你知道某个潜在的入侵开始日期,例如2022年11月1日,你可以使用以下命令查找自该日期以来的所有注册表项:
reg_hunter --key "system\CurrentControlSet\Services" --print
运行所有狩猎
如果你想对某个特定的注册表位置运行所有狩猎,可以使用以下命令:
reg_hunter --key "system\CurrentControlSet\Services" --everything
示例JSON日志
工具的输出是JSON格式的,以下是一个示例日志:
[
{
"parent_data_type": "",
"data_type": "Registry",
"timestamp": "2020-11-24T17:29:48.822",
"device_name": "DESKTOP-NDPUHM4",
"device_domain": "DESKTOP-NDPUHM4",
"device_type": "Desktop"
}
]
典型生态项目
Reg Hunter 依赖于一些开源的Rust库,例如 lnk 和 registry,这些库提供了对Windows注册表和快捷方式文件的解析功能。这些库的贡献者包括 lilopkins 和 gentoo90。
通过结合这些库,Reg Hunter 能够提供强大的注册表狩猎和取证功能,使其成为蓝队进行操作性排查的得力工具。
8万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
