実行痕跡の調査
出典: フリー百科事典『ウィキペディア(Wikipedia)』 (2022/05/02 00:27 UTC 版)
「サイバーセキュリティ」の記事における「実行痕跡の調査」の解説
マルウェアなどアプリケーションを実行した痕跡が残る代表的な箇所として下記のものがある: 実行痕跡概要Prefetch Files C:\Windows\Prefetch フォルダのpfに最近128個のアプリケーション起動時の各種情報(起動時の読み込みファイル、実行回数等)が保持されている。 最近使ったファイル C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recentフォルダにlnkファイルとして最近エクスプローラー経由で使ったファイル名が保存される。 最近使ったOfficeドキュメント C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Office\Recentフォルダにlnkファイルとして最近使ったOfficeドキュメントが保管されている。 AppCompatCache レジストリHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCacheに最近1024 個のアプリケーション実行時のキャッシュ情報(フルパスを、実行ファイル名、最終更新日、サイズ、ファイルの実行可否など)が保存されている。 UserAssist レジストリHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssistにエクスプローラー経由で実行したプログラム情報が保存されている。 RunMRU レジストリHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRUに「ファイル名を指定して実行」で実行したプログラム情報が保存されている。 TypedURLs レジストリHKEY_CURRENT_USER\Software\SOFTWARE\Microsoft\Internet Explorer\TypedURLsにInternetExplorer でアクセスした直近のURL(25 個~50 個)が保存されている。 AppCompatCacheやUserAssistはそのままでは可読でないので、何らかの可読化ツールで可読にする必要がある。AppCompatCacheの可読化ツールとしては例えばShimCacheParser.pyがある。 またNTFSのUSNジャーナルやマスター ファイル テーブルにも実行痕跡が残るし、ネットワークにも実行痕跡が残るのでパケットキャプチャによりその痕跡を探る事ができる。 他にも以下のような実行痕跡を調査する必要がある: 攻撃者はラテラルムーブメントの際、攻撃ツールをPsExecでリモート実行する事が多いので、レジストリKEY_USERS\SID\Software\Sysinternals\PsExecを調査する事でその実行痕跡を調査する必要がある。 攻撃ツールが実行環境に合わずにクラッシュしてその痕跡を残す可能性があるので、C:\ProgramData\Microsoft\Windows\WER\ReportArchiveからアプリケーションのクラッシュ情報を調査する必要がある。
※この「実行痕跡の調査」の解説は、「サイバーセキュリティ」の解説の一部です。
「実行痕跡の調査」を含む「サイバーセキュリティ」の記事については、「サイバーセキュリティ」の概要を参照ください。
- 実行痕跡の調査のページへのリンク