調査担当者がユーザーの行動に関し、Windowsの「regedit」と「reg」を使うことによってレジストリからどのような情報を収集できるかを紹介する。
侵入を受けたWindowsシステムを調査担当者やシステム管理者が分析する際、Windowsレジストリを調べれば、攻撃者の行動に関する非常に重要な情報を収集できる。Windowsレジストリは、Windowsマシンの何万項目にも及ぶ設定を格納した階層型データベースだ。外部の攻撃者がWindowsマシンに侵入したのか、内部の従業員が不正行為を働いたのか、それとも何らかの理由でマルウェアがマシンに感染したのかにかかわらず、Windowsレジストリには調査担当者に役立つ貴重な情報が含まれている。本稿では、調査担当者がユーザーの行動に関してレジストリからどのような情報を収集できるかについて述べる。次回は、OS全般に関する有用なレジストリ情報を引き出す方法について説明する予定だ。
調査担当者がレジストリを操作する方法は幾つかあるが、とりわけ重宝するのがWindowsに標準で付属するGUIベースの「regedit」ツールとコマンドライン型の「reg」ツールだ。regeditは10年以上前からWindowsに含まれているが、regコマンドが組み込まれているのは、比較的最近のWindows(XP Professional、Server 2003、Vista、Server 2008など)だけだ。本稿ではregコマンドを中心に解説するが、regeditツールが役立つケースも取り上げる。regコマンドでは、レジストリキーの値を確認、更新、インポート/エクスポートできる。ただし、今回は有用なフォレンジクス情報を取り出すことに焦点を当てるので、regコマンドを使ってレジストリから重要な情報を確認する方法を中心に解説する。
Windowsレジストリはハイブに保存されている。ハイブというのは、マシンの個々の分野に関する情報を格納したレジストリのセクションである。例えば、「HKCU」ハイブには、現在マシンにログオンしているユーザーに関する情報が格納されている。例えば、悪意を持った従業員がローカルコンソールの前に座っていて席を外した場合や、リモートの攻撃者がシステムに侵入し、リモートデスクトップ、ターミナルサービス、VNC(Virtual Network Computing)などを通じてマシンのGUIをコントロールした場合を想定してみよう。こういった攻撃者は、Windows GUIを利用してプログラムやコマンドを起動したかもしれない(「スタート」→「ファイル名を指定して実行」を選び、実行するプログラムの名前を入力する)。Windowsは、現在ログオン中のユーザーによって、このようにして実行された直近の26件のコマンドをレジストリに記録する。この情報を取り出すには、以下を実行すればよい。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
生成AIへの期待値の変化 DeepSeek台頭がマーケターに突きつける課題とは?
AI 生成の広告に対する反発が続いた1年を経て、マーケターはパフォーマンス結果重視で非...
2024年に視聴者が検索したテレビCM 2位は中国のあのEVメーカー、1位は?
2024年にテレビCMを通して視聴者が気になりWeb検索したものは何だったのか。ノバセルが発...
Googleの広告収益成長が鈍化、中国のアレが原因?
YouTubeなどのプラットフォームの成長率は、米国の選挙関連支出の急増にもかかわらず低迷...