【Version 1.1.2 更新内容】
・ShellBagでエラーが発生するパターンに対応
・ShellBagの出力で、パス区切りの\が重なってしまう問題を修正
・ファイル指定で実行した場合にビューアが表示されない問題を修正
【Version 1.1.1 更新内容】
・パース対象外とする拡張子のパターンを追加。
【Version 1.1.0 更新内容】
・エラーログとエラーログ以外を分割。
・TimeZone関連のオプションを整理。
・フォルダ指定による複数ファイル一括処理を追加。
・自動保存オプション追加。
・結果ファイルビューア追加。
・ログと同じ場所に結果ファイルリストの出力を追加。
・共通部品の一部を修正。
・処理中のファイル名表示を追加。
・プログレスバーを2分割(上段に処理済みファイル数の進捗を表示、下段に処理中ファイルの処理状況を表示)。
【自動保存オプションについて】
・元ファイルと同じ場所に、元ファイル名.txtで出力。
・同名ファイルが既存の場合、上書き保存。
【フォルダ指定について】
・対象にフォルダを指定した場合、フォルダ内のレジストリファイルを一括処理する。
・サブフォルダ内も処理対象。
・従来通りのファイルの単独指定も可能。
・フォルダ指定の場合、ファイル種別は自動判別。
・フォルダ指定の場合、結果ファイルは自動的保存。
・パース対象レジストリは「Hiveファイル種別」コンボボックスに含まれる種別のみ。
・対象フォルダ内にレジストリ以外のファイルが存在する場合、無視する。
【ビューア画面について】
・メイン画面「変換結果をビューアで表示」チェック時のみ表示。
・処理完了後に自動で表示。
・画面上部のファイルリストクリックで画面下部のビューに選択ファイルの内容を表示。
・ビュー内の文字を選択中にマークボタン押下で、選択範囲の背景色をサンプル欄に表示中の色に変更。
・Control+Dキー押下でマークボタン押下と同様の操作。
・色選択ボタンでマーク色変更。
・マーク箇所選択中にマーク選択解除ボタン押下すると、選択範囲の背景色をデフォルトに戻す。
・マーク全解除ボタン押下で全てのマークを一括解除。
・保存ボタン押下により、結果ファイルとは別にマーク状態を保存(RTFファイル)。
・Control+Sキー押下で保存ボタン押下と同様の操作。
・ビュー内の文字は左クリックのドラッグで選択。
・画面ではビューのマーク状態は保持しないので、ファイルリストで別ファイルに切り替えるとマークは失われる。
・保存したRTFファイルの読み込みは非対応(WORD等で表示可能)。
・検索ボタン押下により指定文字列を検索(文書の先頭から検索)。
・検索語が文書内に複数存在する場合、検索ボタン押下により次の検索語にジャンプ。
・検索文字列取得ボタン押下により選択中の文字列を検索語に設定。
・検索欄が空白かつ、ファイル内容の文字が範囲選択中の場合、検索ボタン押下で選択文字列を検索条件に設定して検索。
・ファイル内容表示欄または検索条件欄にカーソルがある状態でF3キーを押下すると検索ボタン押下と同様の処理。
・ビュー内でControl+F押下または右クリック→検索にて、検索画面表示。
・検索画面の操作は検索欄に準ずる。
・検索履歴は再利用可能。
【Beta 20131111 更新内容】
・AppCompatCacheの出力に対応。
・ShellBagの出力に対応。
・共通部品の一部を修正。
【注意事項(全体)】
・よろしくない実装も含め、可能な限り忠実にRegiRipperのプラグインを移植。
・共通部品を変更したため、既存のプラグインによるパース結果が以前のバージョンと異なる可能性あり。
→基本的には出力されるデータの行数が増減するのみで、出力される文言など内容に変化は変化ないはず。
【AppCompatCacheについて】
■RegiRipperの動作・仕様
・対象ハイブ:SYSTEM
・対応OS:XP(32bit)、Vista、2003、2008、2008R2、Win7(XP以外は32bit、64bit共に対応)
・内部では、下記のグループごとに個別のロジックを使用
●XP(32bit)
●Vista、2003、v2008(32bit)
●Vista、2003、2008(64bit)
●2008R2、Win7(32bit)
●2008R2、Win7(64bit)
・同一のパスの実行履歴が複数存在する(日時が異なる)場合、最後に発見した1件のみ出力される。
(処理上最後に発見されたデータであり、最新の日付とは限らない。)
■KaniRegの動作・仕様・RegRipperとの相違点など
・手元にサンプルがないため、Win XP 64bit版の対応状況は未確認。
・Win8のパースに対応(32bitのみ確認済みだが、64bitも出力される想定)。
・OSの特定方法が不明のため、上記対応OSのいずれでもない場合に全てWin8と判定する暫定対応。
・同一のパスの実行履歴は全て出力される。
【ShellBagについて】
■RegiRipperの動作・仕様
・対象ハイブ:XP→NTUSER.DAT、Vista以降→UsrClass.dat
・Vista、Win7、及びWin2008R2のみに対応(bit数は記載なしのため不明)
・処理中にパースに失敗しても処理を継続する仕様のため、稀に誤ったパスが出力される可能性あり。
(正:C:\AAAA\BBBB¥CCCC → BBBBが取得不可の場合の出力:C:\AAAA\CCCC)
■KaniRegの動作・仕様・RegRipperとの相違点など
・XP及びWin8のパースに暫定対応(Win7と共通する構造のキーのみパースされる)。
・XP及びWin8でパース未対応のデータを検知出来た場合、「パース不可」の文言を挿入。
(出力例:「C:\AAAA\パース不可\CCCC」)
・XPの一部のデータにて、文字化けを確認済み。(Win7との構造の相違が原因?)
→切り出すデータが長過ぎるため、本来文字でない余ったバイトがデタラメな文字に変換される。
(出力例:「デスクトップ」が「デスクトップ獀敨汬㈳搮汬」となるなど)