GootloaderCyberChef-Stage2.recipie

Comment('This recipe takes a .reg export file (HKEY_CURRENT_USER\\SOFTWARE\\Microsoft\\Phone\\%username%) as input.\n\n\nRemove unnecessary characters')
Remove_null_bytes()
Find_/_Replace({'option':'Regex','string':'(.*Windows Registry Editor.*)|(.*HKEY_CURRENT_USER.*)'},'',true,true,false,false)
Comment('Get only the reg data (assumes that the export is in alphabetical order[it should be by default])')
Find_/_Replace({'option':'Regex','string':'"\\d{1,3}"\\="(.*)"'},'$1',true,false,true,false)
Remove_whitespace(true,true,true,true,true,false)
Comment('Replace text per obfuscation script')
Find_/_Replace({'option':'Simple string','string':'q'},'000',true,false,true,false)
Find_/_Replace({'option':'Simple string','string':'v'},'0',true,false,true,false)
Find_/_Replace({'option':'Simple string','string':'w'},'1',true,false,true,false)
Find_/_Replace({'option':'Regex','string':'r'},'2',true,false,true,false)
Find_/_Replace({'option':'Regex','string':'t'},'3',true,false,true,false)
Find_/_Replace({'option':'Regex','string':'y'},'4',true,false,true,false)
Find_/_Replace({'option':'Regex','string':'u'},'5',true,false,true,false)
Find_/_Replace({'option':'Regex','string':'i'},'6',true,false,true,false)
Find_/_Replace({'option':'Regex','string':'o'},'7',true,false,true,false)
Find_/_Replace({'option':'Regex','string':'p'},'8',true,false,true,false)
Find_/_Replace({'option':'Regex','string':'s'},'9',true,false,true,false)
Find_/_Replace({'option':'Regex','string':'q'},'A',true,false,true,false)
Find_/_Replace({'option':'Regex','string':'h'},'B',true,false,true,false)
Find_/_Replace({'option':'Regex','string':'j'},'C',true,false,true,false)
Find_/_Replace({'option':'Regex','string':'k'},'D',true,false,true,false)
Find_/_Replace({'option':'Regex','string':'l'},'E',true,false,true,false)
Find_/_Replace({'option':'Regex','string':'z'},'F',true,false,true,false)
Comment('Output from hex + optional MD5')
From_Hex('Auto')
MD5(/disabled)