miércoles, 8 de diciembre de 2010

Last write time finder v1.0 beta


Buenas!

Introducción


Last write time finder (beta), es una herramienta de línea de comandos que nos permitirá
saber la fecha y hora de escritura en una determinada key del registro de windows.
Esto nos puede ser de gran utilidad, Por ejemplo en el desarrollo de líneas de tiempo.
Nota: esta versión fue solo probada en windows xp, y está en beta,
por lo que si encuentras cualquier tipo de error puedes contactarme a djga94@gmail.com.

Uso

El uso de la herramienta lwtf es realmente muy simple:
lwtf.exe espera 2 parámetros:
.El árbol del registro:
Este argumento identifica al root del registro.
El argumento árbol puede ser cualquiera de los siguientes valores:
.hkcr / HKCR = HKEY_CLASESS_ROOT
.hkcu / HKCU= HKEY_CURRENT_USER
.hklm / HKLM=HKEY_LOCAL_MACHINE
. hku / HKU=HKEY_USERS
.hkcc / HKCC=HKEY_CURRENT_CONFIG
El otro parámetro que espera lwtf.exe es la subkey dentro del árbol, por ejemplo System\CurrentControlSet\Services.

Ejemplos de uso

Ejemplo 1:
En el siguiente ejemplo se muestra el last write time para la key hkcr\.fla
lwtf hkcr .fla


Ejemplo 2:
Cuando se inició el ordenador? la key hardware abitualmente puede responder esta pregunta
lwtf hklm hardware
Salida:
By winroot http://win-root.blogspot.com

08/12/2010 11:02
11:02 , es la hora en la que prendí la pc.
Ejemplo 3:
En este ejemplo vamos a suponer que llegamos a una pc, y está infectada con malware.
El mismo, se carga desde la key run de hklm.
Como en este caso es lo único que hay en esa key, vamos a obtener el last write time,
y luego compararlo con la fecha de creación del ejecutable del malware.
lwtf hklm software\microsoft\windows\currentversion\run
Salida:
By winroot http://win-root.blogspot.com
20/8/2010 15:09

Descarga

Descarga binarios para windows+src C++ + readme.
Descargar .rar
Para programadores c++
Bien, el programador de c++ que vio el código fuente,
provablemente notó los problemas que tiene el código desde el punto de vista de el diseño.
Para la versión definitiva, pienso implementar la clase lwtf en una librería, usar excepciones y otras clases para parsear resultados.

Licencia

Gpl.
Reporte de problemas

Si encuentras un problema, puedes contactarme a djga94@gmail.com tanto por mail como por msn, Te estaré muy agradecido.

Un abrazo !