Reg Hunter 使用教程

Reg Hunter 使用教程

reg_hunterBlueteam operational triage registry hunting/forensic tool.项目地址:https://gitcode.com/gh_mirrors/re/reg_hunter

项目介绍

Reg Hunter 是一个用于蓝队操作性排查的注册表狩猎/取证工具。它旨在不仅仅局限于注册表排查和狩猎，还希望成为一个独立的排查/狩猎工具，用于所有Windows持久化机制。该项目由Brian Kellogg开发，采用MIT许可证。

项目快速启动

安装 Rust

首先，确保你已经安装了Rust编程语言。你可以通过以下命令安装Rust：

curl --proto '=https' --tlsv1.2 -sSf https://sh.rustup.rs | sh

克隆项目

克隆Reg Hunter项目到本地：

git clone https://github.com/theflakes/reg_hunter.git
cd reg_hunter

构建项目

根据你的操作系统，选择合适的构建命令。例如，对于Windows 64位系统：

cargo build --release --target x86_64-pc-windows-msvc

运行工具

构建完成后，你可以运行以下命令来查看帮助信息：

./target/release/reg_hunter --help

应用案例和最佳实践

查找恶意注册表项

假设你知道某个潜在的入侵开始日期，例如2022年11月1日，你可以使用以下命令查找自该日期以来的所有注册表项：

reg_hunter --key "system\CurrentControlSet\Services" --print

运行所有狩猎

如果你想对某个特定的注册表位置运行所有狩猎，可以使用以下命令：

reg_hunter --key "system\CurrentControlSet\Services" --everything

示例JSON日志

工具的输出是JSON格式的，以下是一个示例日志：

[
  {
    "parent_data_type": "",
    "data_type": "Registry",
    "timestamp": "2020-11-24T17:29:48.822",
    "device_name": "DESKTOP-NDPUHM4",
    "device_domain": "DESKTOP-NDPUHM4",
    "device_type": "Desktop"
  }
]

典型生态项目

Reg Hunter 依赖于一些开源的Rust库，例如 lnk 和 registry，这些库提供了对Windows注册表和快捷方式文件的解析功能。这些库的贡献者包括 lilopkins 和 gentoo90。

通过结合这些库，Reg Hunter 能够提供强大的注册表狩猎和取证功能，使其成为蓝队进行操作性排查的得力工具。

reg_hunterBlueteam operational triage registry hunting/forensic tool.项目地址:https://gitcode.com/gh_mirrors/re/reg_hunter