調査担当者がユーザーの行動に関し、Windowsのレジストリからどのような情報を収集できるのか。今回はOS全般に関する有用なレジストリ情報を引き出す方法を紹介する。
わたしは前回、「Windowsレジストリを利用したフォレンジクス――ハッカーの行動を調べる」という記事で、マシンにログオン中のユーザーの最近の操作を調査担当者が特定するのに役立つレジストリ内の幾つかの重要な項目について解説した。その中で特に注目したのが「HKCU」(Hive Key Current User)というレジストリ部分だった。今回は、レジストリの「HKLM」(Hive Key Local Machine)セクションで指定できる各種のシステムワイドな設定について解説する。これらの設定は、フォレンジクス調査担当者にも非常に役立つものだ。
Microsoft Windowsの幾つかのバージョン(XP Professional、Vista、Server 2003、Server 2008)には、「reg.exe」コマンドが含まれている。これを利用すれば、レジストリ内の情報の確認や更新が行える。この素晴らしいコマンドラインツールは、ローカルマシンだけでなくリモートシステムに対しても使え、レジストリの全項目を再帰的に表示させることができる。
調査担当者にとって、Windowsマシンの自動起動処理の一部をコントロールする3つの重要なレジストリキー(「Run」レジストリキー)のデータが役立つことがある。ユーザーがシステムにローカルでログオンすると、これらのレジストリキーの設定によって指定されるプログラムが自動的に実行される。
Copyright © ITmedia, Inc. All Rights Reserved.
お知らせ
米国TechTarget Inc.とInforma Techデジタル事業が業務提携したことが発表されました。TechTargetジャパンは従来どおり、アイティメディア(株)が運営を継続します。これからも日本企業のIT選定に役立つ情報を提供してまいります。
マーケターの仕事はなくなる? AIが変えるソーシャルメディアの未来【後編】
AIが変えるソーシャルメディアの未来について5つの視点で考察。後編では「創作の民主化」...
日本のリテールメディアはまず店舗から 今こそ知りたい「インストア広告」の現在
今回はインストア(店舗内)広告のデジタル化という観点から、リテールメディアに注目し...
10分でできるデジタル広告最適化 2500億通りのパターンを分析
ノバセルは、デジタルマーケティング領域の新ツール「ノバセル アナリティクス for デジ...