読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANSからの練習問題を試す プロセスの確認 (2)

再びSANS BlogのAPT.IMGのプロセスをRedLineで確認していきます。解説記事では少し下の方に、Additional Analysis submitted by Gebhard Zocher という追加解説が載っていますが、こちらの方がより詳細に手順や内容が書かれています。

こちらを確認すると、プロセスとしては他にもmsiexec.exeというプロセスがservices.exe配下で実行されており、SYSTEMという高い権限で実行されています。

f:id:hideakii:20140224210352p:plain

これはWindowsインストーラツールということのようで、MSのKBに記述があります。

The Command-Line Options for the Microsoft Windows Installer Tool Msiexec.exe

インストーラが上記のような親子関係で動作するか私はよく知らないのですが、引数が興味深い値になっています。

f:id:hideakii:20140224210704p:plain

オプションとして/Vが指定されているのですが、上記KBを見てもそのようなオプションは記載がありませんし、実際にこのオプションを指定して実行するとエラーダイアログが表示されます。不思議に思い、Googleで検索してみると/Vオプションはサービスとして実行する際に利用するオプションにも見えます。

果たしてこのプロセスは正しいものなのでしょうか?それとも何かしら異常があり調べる価値があるものなのでしょうか?、調べた感じだと、単純にWindowsインストーラをサービスとして起動しているだけで、特にこのプロセスがこの状態で異常とも見えません。手元にXP環境がなかったので、Windows 7のサービスでWindows Installerサービスを確認してみたところ、上記と同じ引数になっていました。

ということは、これは問題ないと判断しても良さそうな気はしますが、何かを見落としている可能性もあるので、他の項目もチェックすべきなのかもしれません。*1

 

*1:ディスクイメージがあればファイル実体を確認しにいきたいところなのですがメモリイメージしかないのは若干やりにくいですね