設問： インシデント・レスポンスの初期対応として、レジストリキーの情報を reg query コマンドで取得する手順を考えた場合、どのタイミングで実施するのが適切か、揮発性の順序も考慮して答えよ。なお、メモリダンプも初期対応手順に含まれている前提とす…

メモリ内のレジストリデータかなぁなどと考えていたら、後ろの席の人が新たな EnScript を公開していました EnCase EnScript "Memory Forensic Toolkit" その１ http://cci.cocolog-nifty.com/blog/2009/10/memory-forensic.html#more スクリプトは調査ツー…

HKLM\SYSTEM\ControlSet001\services\VSS\Diag\VolSnap キーですが、電源断（シャットダウン）してから、オフラインでレジストリをマウントして該当キーを確認すると、VSS\Diag まではキーが存在するのですが、VolSnap キーが見あたりません。 シャットダウ…

引き続き Windows 7 の VMware 環境で、レジストリファイル内で VSS に関連するキー情報について確認してみたいと思います。 テスト環境には C ドライブと F ドライブがありますが、まずはシステムの保護を有効にしておき、vssadmin でボリューム情報を確認…