Windowsレジストリを利用したフォレンジクス――ハッカーの行動を調べる「reg」コマンドで分かること

調査担当者がユーザーの行動に関し、Windowsの「regedit」と「reg」を使うことによってレジストリからどのような情報を収集できるかを紹介する。

2008年11月25日 07時30分 公開
[Ed Skoudis,TechTarget]

 侵入を受けたWindowsシステムを調査担当者やシステム管理者が分析する際、Windowsレジストリを調べれば、攻撃者の行動に関する非常に重要な情報を収集できる。Windowsレジストリは、Windowsマシンの何万項目にも及ぶ設定を格納した階層型データベースだ。外部の攻撃者がWindowsマシンに侵入したのか、内部の従業員が不正行為を働いたのか、それとも何らかの理由でマルウェアがマシンに感染したのかにかかわらず、Windowsレジストリには調査担当者に役立つ貴重な情報が含まれている。本稿では、調査担当者がユーザーの行動に関してレジストリからどのような情報を収集できるかについて述べる。次回は、OS全般に関する有用なレジストリ情報を引き出す方法について説明する予定だ。

レジストリの操作

 調査担当者がレジストリを操作する方法は幾つかあるが、とりわけ重宝するのがWindowsに標準で付属するGUIベースの「regedit」ツールとコマンドライン型の「reg」ツールだ。regeditは10年以上前からWindowsに含まれているが、regコマンドが組み込まれているのは、比較的最近のWindows(XP Professional、Server 2003、VistaServer 2008など)だけだ。本稿ではregコマンドを中心に解説するが、regeditツールが役立つケースも取り上げる。regコマンドでは、レジストリキーの値を確認、更新、インポート/エクスポートできる。ただし、今回は有用なフォレンジクス情報を取り出すことに焦点を当てるので、regコマンドを使ってレジストリから重要な情報を確認する方法を中心に解説する。

ユーザーの行った操作を調べる

 Windowsレジストリはハイブに保存されている。ハイブというのは、マシンの個々の分野に関する情報を格納したレジストリのセクションである。例えば、「HKCU」ハイブには、現在マシンにログオンしているユーザーに関する情報が格納されている。例えば、悪意を持った従業員がローカルコンソールの前に座っていて席を外した場合や、リモートの攻撃者がシステムに侵入し、リモートデスクトップ、ターミナルサービス、VNC(Virtual Network Computing)などを通じてマシンのGUIをコントロールした場合を想定してみよう。こういった攻撃者は、Windows GUIを利用してプログラムやコマンドを起動したかもしれない(「スタート」→「ファイル名を指定して実行」を選び、実行するプログラムの名前を入力する)。Windowsは、現在ログオン中のユーザーによって、このようにして実行された直近の26件のコマンドをレジストリに記録する。この情報を取り出すには、以下を実行すればよい。

ITmedia マーケティング新着記事

news101.jpg

郵送業務を電子化する理由 3位「テレワークへの対応」、2位「業務の迅速化・省力化」で1位は?――リンクス調査
キャンペーンのお知らせや新商品の紹介のダイレクトメールなど、個人宛てに送付する郵便...

news172.png

WACULが「AIアナリストSEO」を大幅刷新 コンテンツ作成×外部対策×内部対策×CVR改善をワンストップで支援
月額30万円でAI技術を活用したコンテンツ制作、約4万サイトの支援データ、熟練コンサルタ...

news150.jpg

SFAツール「Kairos3 Sales」にモバイルアプリ版 訪問営業の生産性向上へ
モバイルアプリ上で、リアルタイムで営業活動の確認・記録が可能になる。