Hello there, ('ω')ノ
デジタルフォレンジックの勉強は、うまくいったりかなかったりで。
うまくいかなかったら一旦保留にして、別のカテゴリに移るしかないと。
脆弱性診断と同じようにいつの間にか点と点とがつながっていくはずで。
昨日は災難でして。
フォレンジック用にウィルスの検体をSDカードに保存していると。
ウィルスが起動したのか。
はたまたなにかヘマをしてしまったのか。
SDカードの中身がすべて削除されてしまって。
フォーマットしないと使えない状態に。
ということで、Windowsには以下の5つのルートキーがありまして。
これらはレジストリハイブ(%SystemRoot%\system32\config)に保存されて。
HKEY_CURRENT_USER
HKEY_USERS
HKEY_CLASSES_ROOT
HKEY_LOCAL_MACHINE
HKEY_CURRENT_CONFIG
この中でインシデント調査に最も価値があるのが、『HKEY_LOCAL_MACHINE』で。
さらには、このキーの中には以下のような興味深いサブキーがあって。
SAM
Security
Software
System
そして、インシデント調査に不可欠なデータソースが、『HKEY_CURRENT_USER』で。
ユーザのデータを変更すると『C:\Users\(UserName)』の『NTUSER.dat』に記録され。
なので、システムのユーザアクティビティやユーザアカウントの変更が疑わしいと。
インシデントで役立つ場合があるようで。
SAMレジストリファイルは、下記にあって。
C:\Windows\System32\config\SAM
Best regards, (^^ゞ