オフラインでのレジストリのチェック
レジストリをチェックする際、それをPCを起動せずに行いたい場合には、専用のツール群を活用する必要があります。
侵害を受けたか分からない場合や、マルウェア感染から時間が経ってしまった場合には、オフラインでの調査方法を用いたチェックが無難でしょう。
レジストリは、Windowsが稼働している間に次々に上書きされてしまい、被害当時の状況がわかりづらくなってしまうのです。
以下では簡易チェックできるレベルのツールを紹介します。
高度なマルウェアの情報を見つけるには不十分かもしれませんが、参考にはなるでしょう。
レジストリ関連ファイルの抽出
「FTK Imager Lite」を使って、関係ファイルを抽出します。
FTK Imager Liteについては
インシデント対応ツールの基礎知識 ツール「FTK Imager Lite」に触れて実感しよう
を参照してください。
まずは、関連ファイル(C:¥Windows¥System32¥config配下)をシステム上、もしくは物理イメージから取り出します。
NTUSER.DATにはユーザー固有の情報が詰まっているので、保存の際に上書きしてしまわないように注意が必要です。
レジストリファイルの閲覧
比較的扱いやすいレジストリファイル解析のためのツールとして「MiTeC Windows Registry Recovery」を紹介します。
GUIも他ツールに比べて扱いやすく洗練されていますが、ファイル・プログラム・USBメモリなどの利用履歴が表示できないため、詳細解析には不向きと言えるでしょう。
ツール名:MiTeC Windows Registry Recovery
使用目的:レジストリの解析
入手方法:http://www.mitec.cz/wrr.html
ダウンロードしたZIPファイルを解凍し、「WRR.exe」をダブルクリックして起動します。
この起動画面では、まだ何も表示されません。
起動したら、収集したレジストリファイルを開きます。
せめて、「SAM」「SYSTEM」「SOFTWARE」は調査対象としましょう。
「SAM」タブを調査対象とした場合、左サイドに並んだ選択肢内から「SAM」を選ぶと、ユーザー情報が閲覧できます。
「SAM」を調査する場合は、システムアカウントや自身のアカウント以外に不審なアカウントがないかを確認しましょう。
「SYSTEM」タブの場合は、「Services and Drivers」が参照可能となります。
例えば、「Services」タブをクリックし、「Startup」に注目します。
ここで、「Automatic」と表示されているサービスは、システムの再起動後も自動実行されることを示しています。
マルウェアの多くは自動実行することを考慮すると、この「Automatic」と表示されているサービスの中にマルウェアが紛れている可能性があります。
もちろん例外もあるので、この事も考慮しておきましょう。
参照できる内容が、選択したレジストリファイルによって変わるので、必要と思われるレジストリファイルは一通り収集しておくことを推奨します。
関連
インシデント対応ツールの基礎知識 ツール「FTK Imager Lite」に触れて実感しよう