アンタイ・フォレンジック妖怪の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

WRPにより保護されているレジストリキー

規定で WRP の保護対象になっているレジストリキーを知りたいとか考えているのですが、どうもというかやはりというか、ACL で TrustedInstaller が所有者になっているかとか確認したほうが早いんですかね。

Checking if a registry key is WRP Protected
http://www.techmount.com/index.php/20070502/checking-if-a-registry-key-is-wrp-protected/

保護対象に変更が加わった場合に、ファイルの場合は復元されたりするわけですが、レジストリの場合にはどのような処理が行われるのか?は依然としてわかりませんが...

Re: Using regedit to modify Vista registry
http://forums.microsoft.com/msdn/showpost.aspx?postid=1767620&siteid=1

保護対象レジストリキーの変更については、ファイルと同じく ACL を強制的に変更して編集する方向のお話もあるようですけど、WRP によるレジストリ保護は、ACL による保護だけで修復ってのはないのかなぁ...