Windowsレジストリを利用したフォレンジクス──さまざまな設定を調べる：接続したUSBメモリやiPodの検出も

調査担当者がユーザーの行動に関し、Windowsのレジストリからどのような情報を収集できるのか。今回はOS全般に関する有用なレジストリ情報を引き出す方法を紹介する。

[Ed Skoudis，TechTarget]

　わたしは前回、「Windowsレジストリを利用したフォレンジクス――ハッカーの行動を調べる」という記事で、マシンにログオン中のユーザーの最近の操作を調査担当者が特定するのに役立つレジストリ内の幾つかの重要な項目について解説した。その中で特に注目したのが「HKCU」（Hive Key Current User）というレジストリ部分だった。今回は、レジストリの「HKLM」（Hive Key Local Machine）セクションで指定できる各種のシステムワイドな設定について解説する。これらの設定は、フォレンジクス調査担当者にも非常に役立つものだ。

　Microsoft Windowsの幾つかのバージョン（XP Professional、Vista、Server 2003、Server 2008）には、「reg.exe」コマンドが含まれている。これを利用すれば、レジストリ内の情報の確認や更新が行える。この素晴らしいコマンドラインツールは、ローカルマシンだけでなくリモートシステムに対しても使え、レジストリの全項目を再帰的に表示させることができる。

自動起動関連レジストリキー

　調査担当者にとって、Windowsマシンの自動起動処理の一部をコントロールする3つの重要なレジストリキー（「Run」レジストリキー）のデータが役立つことがある。ユーザーがシステムにローカルでログオンすると、これらのレジストリキーの設定によって指定されるプログラムが自動的に実行される。

#CmsMembersControl .CmsMembersControlIn {width:100%;background:url(https://image.itmedia.co.jp/images/spacer.gif) #DDD;opacity:0.05;filter:progid:DXImageTransform.Microsoft.Alpha(Enabled=1,Style=0,Opacity=5);z-index:1;}