Hello there, ('ω')ノ

 

デジタルフォレンジックの勉強は、うまくいったりかなかったりで。

うまくいかなかったら一旦保留にして、別のカテゴリに移るしかないと。

脆弱性診断と同じようにいつの間にか点と点とがつながっていくはずで。

 

昨日は災難でして。

フォレンジック用にウィルスの検体をSDカードに保存していると。

ウィルスが起動したのか。

はたまたなにかヘマをしてしまったのか。

SDカードの中身がすべて削除されてしまって。

フォーマットしないと使えない状態に。

 

ということで、Windowsには以下の５つのルートキーがありまして。

これらはレジストリハイブ（%SystemRoot%\system32\config）に保存されて。

　HKEY_CURRENT_USER
　HKEY_USERS
　HKEY_CLASSES_ROOT
　HKEY_LOCAL_MACHINE
　HKEY_CURRENT_CONFIG

 

この中でインシデント調査に最も価値があるのが、『HKEY_LOCAL_MACHINE』で。

さらには、このキーの中には以下のような興味深いサブキーがあって。

　SAM

　Security

　Software

　System

 

そして、インシデント調査に不可欠なデータソースが、『HKEY_CURRENT_USER』で。

ユーザのデータを変更すると『C:\Users\(UserName)』の『NTUSER.dat』に記録され。

 

なので、システムのユーザアクティビティやユーザアカウントの変更が疑わしいと。

インシデントで役立つ場合があるようで。

 

SAMレジストリファイルは、下記にあって。

　C:\Windows\System32\config\SAM

 

 

Best regards, (^^ゞ