【Version 1.1.2 更新内容】 ・ShellBagでエラーが発生するパターンに対応 ・ShellBagの出力で、パス区切りの\が重なってしまう問題を修正 ・ファイル指定で実行した場合にビューアが表示されない問題を修正
【Version 1.1.1 更新内容】 ・パース対象外とする拡張子のパターンを追加。
【Version 1.1.0 更新内容】 ・エラーログとエラーログ以外を分割。 ・TimeZone関連のオプションを整理。 ・フォルダ指定による複数ファイル一括処理を追加。 ・自動保存オプション追加。 ・結果ファイルビューア追加。 ・ログと同じ場所に結果ファイルリストの出力を追加。 ・共通部品の一部を修正。 ・処理中のファイル名表示を追加。 ・プログレスバーを2分割(上段に処理済みファイル数の進捗を表示、下段に処理中ファイルの処理状況を表示)。
【自動保存オプションについて】 ・元ファイルと同じ場所に、元ファイル名.txtで出力。 ・同名ファイルが既存の場合、上書き保存。
【フォルダ指定について】 ・対象にフォルダを指定した場合、フォルダ内のレジストリファイルを一括処理する。 ・サブフォルダ内も処理対象。 ・従来通りのファイルの単独指定も可能。 ・フォルダ指定の場合、ファイル種別は自動判別。 ・フォルダ指定の場合、結果ファイルは自動的保存。 ・パース対象レジストリは「Hiveファイル種別」コンボボックスに含まれる種別のみ。 ・対象フォルダ内にレジストリ以外のファイルが存在する場合、無視する。
【ビューア画面について】 ・メイン画面「変換結果をビューアで表示」チェック時のみ表示。 ・処理完了後に自動で表示。 ・画面上部のファイルリストクリックで画面下部のビューに選択ファイルの内容を表示。 ・ビュー内の文字を選択中にマークボタン押下で、選択範囲の背景色をサンプル欄に表示中の色に変更。 ・Control+Dキー押下でマークボタン押下と同様の操作。 ・色選択ボタンでマーク色変更。 ・マーク箇所選択中にマーク選択解除ボタン押下すると、選択範囲の背景色をデフォルトに戻す。 ・マーク全解除ボタン押下で全てのマークを一括解除。 ・保存ボタン押下により、結果ファイルとは別にマーク状態を保存(RTFファイル)。 ・Control+Sキー押下で保存ボタン押下と同様の操作。 ・ビュー内の文字は左クリックのドラッグで選択。 ・画面ではビューのマーク状態は保持しないので、ファイルリストで別ファイルに切り替えるとマークは失われる。 ・保存したRTFファイルの読み込みは非対応(WORD等で表示可能)。 ・検索ボタン押下により指定文字列を検索(文書の先頭から検索)。 ・検索語が文書内に複数存在する場合、検索ボタン押下により次の検索語にジャンプ。 ・検索文字列取得ボタン押下により選択中の文字列を検索語に設定。 ・検索欄が空白かつ、ファイル内容の文字が範囲選択中の場合、検索ボタン押下で選択文字列を検索条件に設定して検索。 ・ファイル内容表示欄または検索条件欄にカーソルがある状態でF3キーを押下すると検索ボタン押下と同様の処理。 ・ビュー内でControl+F押下または右クリック→検索にて、検索画面表示。 ・検索画面の操作は検索欄に準ずる。 ・検索履歴は再利用可能。
【Beta 20131111 更新内容】 ・AppCompatCacheの出力に対応。 ・ShellBagの出力に対応。 ・共通部品の一部を修正。
【注意事項(全体)】 ・よろしくない実装も含め、可能な限り忠実にRegiRipperのプラグインを移植。 ・共通部品を変更したため、既存のプラグインによるパース結果が以前のバージョンと異なる可能性あり。 →基本的には出力されるデータの行数が増減するのみで、出力される文言など内容に変化は変化ないはず。
【AppCompatCacheについて】 ■RegiRipperの動作・仕様 ・対象ハイブ:SYSTEM ・対応OS:XP(32bit)、Vista、2003、2008、2008R2、Win7(XP以外は32bit、64bit共に対応) ・内部では、下記のグループごとに個別のロジックを使用 ●XP(32bit) ●Vista、2003、2008(32bit) ●Vista、2003、2008(64bit) ●2008R2、Win7(32bit) ●2008R2、Win7(64bit)
・同一のパスの実行履歴が複数存在する(日時が異なる)場合、最後に発見した1件のみ出力される。 (処理上最後に発見されたデータであり、最新の日付とは限らない。)
■KaniRegの動作・仕様・RegRipperとの相違点など ・手元にサンプルがないため、Win XP 64bit版の対応状況は未確認。 ・Win8のパースに対応(32bitのみ確認済みだが、64bitも出力される想定)。 ・OSの特定方法が不明のため、上記対応OSのいずれでもない場合に全てWin8と判定する暫定対応。 ・同一のパスの実行履歴は全て出力される。
【ShellBagについて】 ■RegiRipperの動作・仕様 ・対象ハイブ:XP→NTUSER.DAT、Vista以降→UsrClass.dat ・Vista、Win7、及びWin2008R2のみに対応(bit数は記載なしのため不明) ・処理中にパースに失敗しても処理を継続する仕様のため、稀に誤ったパスが出力される可能性あり。 (正:C:\AAAA\BBBB¥CCCC → BBBBが取得不可の場合の出力:C:\AAAA\CCCC)
■KaniRegの動作・仕様・RegRipperとの相違点など ・XP及びWin8のパースに暫定対応(Win7と共通する構造のキーのみパースされる)。 ・XP及びWin8でパース未対応のデータを検知出来た場合、「パース不可」の文言を挿入。 (出力例:「C:\AAAA\パース不可\CCCC」) ・XPの一部のデータにて、文字化けを確認済み。(Win7との構造の相違が原因?) →切り出すデータが長過ぎるため、本来文字でない余ったバイトがデタラメな文字に変換される。 (出力例:「デスクトップ」が「デスクトップ獀敨汬㈳搮汬」となるなど)