MS-0x404/ms-regfx
GitHub: MS-0x404/ms-regfx
一款用于离线解析 Windows 注册表配置单元文件(REGF 格式)的数字取证工具,支持提取键值层次结构与多种数据类型并输出为 CSV 等格式。
Stars: 0 | Forks: 0
# ms-regfx
用于处理 **Windows 注册表 (REGF)** 文件的解析器和实用工具。
## 📌 描述
`ms-regfx` 是一个旨在读取、分析和操作 Windows 注册表文件(REGF 格式)的项目。这些文件被 Windows 系统用于存储操作系统及已安装应用程序的配置数据。
## ✨ 功能
* 解析注册表配置单元文件(例如,`NTUSER.DAT`、`SYSTEM`)
* 浏览层次化的键和值
* 提取数据类型(字符串、DWORD、二进制等)
* 访问内部注册表结构
## 📂 项目结构
```
ms-regfx/
├── core/ # core of project
├── outputs/ # Many type of outputs
├── main.py # Main file
└── README.md
```
## ⚙️ 安装
克隆仓库:
```
git clone https://github.com/MS-0x404/ms-regfx.git
cd ms-regfx
```
从 AUR 安装:
```
yay -S ms-regfx
regfx --help
```
## 🚀 用法
基本示例:
```
# 通用示例
regfx NTUSER.DAT run -r --csv
```
## 🛠️ 用例
* 被入侵系统的取证分析
* 提取工件(MRU、配置数据等)
* 自动化注册表分析
标签:CIDR输入, MRU提取, NTUSER.DAT, Python, REGF格式, SYSTEM, Windows注册表, 二进制解析, 取证分析工具, 库, 应急响应, 数字取证, 数据包嗅探, 数据导出, 文档结构分析, 无后门, 注册表结构, 注册表解析, 流量嗅探, 演示模式, 系统痕迹提取, 自动化脚本, 逆向工具, 配置提取