2008年12月01日 07時30分 UPDATE
特集/連載

接続したUSBメモリやiPodの検出もWindowsレジストリを利用したフォレンジクス──さまざまな設定を調べる

調査担当者がユーザーの行動に関し、Windowsのレジストリからどのような情報を収集できるのか。今回はOS全般に関する有用なレジストリ情報を引き出す方法を紹介する。

[Ed Skoudis,TechTarget]

 わたしは前回、「Windowsレジストリを利用したフォレンジクス――ハッカーの行動を調べる」という記事で、マシンにログオン中のユーザーの最近の操作を調査担当者が特定するのに役立つレジストリ内の幾つかの重要な項目について解説した。その中で特に注目したのが「HKCU」(Hive Key Current User)というレジストリ部分だった。今回は、レジストリの「HKLM」(Hive Key Local Machine)セクションで指定できる各種のシステムワイドな設定について解説する。これらの設定は、フォレンジクス調査担当者にも非常に役立つものだ。

 Microsoft Windowsの幾つかのバージョン(XP Professional、Vista、Server 2003、Server 2008)には、「reg.exe」コマンドが含まれている。これを利用すれば、レジストリ内の情報の確認や更新が行える。この素晴らしいコマンドラインツールは、ローカルマシンだけでなくリモートシステムに対しても使え、レジストリの全項目を再帰的に表示させることができる。

自動起動関連レジストリキー

 調査担当者にとって、Windowsマシンの自動起動処理の一部をコントロールする3つの重要なレジストリキー(「Run」レジストリキー)のデータが役立つことがある。ユーザーがシステムにローカルでログオンすると、これらのレジストリキーの設定によって指定されるプログラムが自動的に実行される。

この記事を読んだ人にお薦めのホワイトペーパー

この記事を読んだ人にお薦めの関連記事

Loading

注目テーマ

ITmedia マーケティング新着記事

news107.jpg

コムニコ、SNS投稿とアカウントを分析するクラウドツール「POST365」の提供を開始
コムニコは、国内主要1000ブランドのSNS投稿、アカウントを分析するためのクラウドツール...

news101.jpg

日本の消費者の94%が広告ブロックソフトの利用を検討、動画広告のアンルーリーが調査
動画SSPを提供するアンルーリーは、「動画広告の将来に関する調査」を実施。日本の消費者...

news007.jpg

アナログなマーケティングをグレードアップ、無料でどこまでできるか
マーケティングオートメーション(MA)とは名ばかりの不完全なツールも少なくない背景に...