取得したハードディスクの物理イメージから、検証用として抽出したいデータの1つがレジストリファイルです。
Cドライブにシステムファイルが設置されている場合の「C:¥WINDOWS¥system32¥config」フォルダー配下のファイルのうち、主なものをまとめました。
ハードディスクの物理イメージについては
インシデント対応ツールの基礎知識 「FTK Imager Lite」に触れる・メモリダンプの活用
ハードディスクなどの物理イメージの取得
をご参照ください。
主なレジストリファイル
ファイル名:備考
SYSTEM : システム関係のファイル。USBメモリの利用履歴など、システムに関連する情報を知りたい場合はここ
SOFTWARE : ソフトウェア関係のファイル。主な自動実行されるプログラムをチェックする場合はここ
SECURITY : セキュリティ関係のファイル。Windowsのセキュリティ設定情報をチェックしたい場合はここ。SYSTEMとセットで見た方が良い
SAM : アカウント情報のファイル
NTUSER.DAT : ユーザーの固有のファイル。「C:¥Users¥[アカウント名]¥」配下
レジストリファイルに含まれる情報
- OSやソフトウェアの一般的な設定情報
- 自動起動の設定がされたプログラムの情報
- 最近利用したプログラムやファイル名
- 利用した外部記憶媒体(USBメモリなど)
このレジストリ情報を時系列に整列すると、システム上で何が起こっていたかおおよその検討がつきます。
マルウェアによってレジストリの内容が改変されてしまうこともありますが、完全に書き直すことは難儀なはずです。
このことから、レジストリのチェックはマルウェアの痕跡を検出するために有効な調査方法の1つと言えるでしょう。
稼働中のシステム上でのレジストリのチェック
不正プログラムが実行されている事にすぐ気づくことができた場合は、「Autoruns」を利用して簡単に確認することができます。
このケースに該当するのは、アイコン偽装されたファイルを「うっかり」クリックしてしまったなどの場合です。
Autorunsについては
プロセスの動作状況のチェック Autoruns・FastIR
を参照してください。
msconfigによるスタートアップのチェック
「msconfig」とは、「Windows System Configuration Utility」のことです。
これはWindowsの標準機能で、スタートアップに登録されたプログラムや起動するサービスを簡単にチェックすることができます。
「ファイル名を指定して実行」の開き方
Windowsアイコン→Windowsシステムツール→ファイル名を指定して実行
「ファイル名を指定して実行」に「msconfig」と入力
※Windows7の場合は、スタートボタンをクリックしたら表示される入力欄に「msconfig」と入力
すると、msconfigの画面が起動されます。
「スタートアップ」を選択すると、スタートアップに登録されたプログラムやサービスを確認することができます。
※Windows10では「タスクマネージャーを開く」というリンクが表示されるので、そこをクリックする。
※Windows7では、直接表示される。
スタートアップに登録されているプログラムの製造元が不明で、参照先がユーザー管理のフォルダー配下であるものは疑念を抱く必要があるでしょう。
そこで、エクスプローラにて該当のプログラムを確認します。
該当のプログラムが実行ファイルではなくショートカットであると判明したならば、次はプログラムの実体を調査することでマルウェアであるかの検討をつけることができるでしょう。