Log2timeline.py(Plaso)によるタイムラインの作成(17)
Log2timeline(Plaso)の WinRegistryParser ですが、複数のプラグインが含まれています。Registry Plugins としてリストアップされる項目について、それぞれが参照しているレジストリキーについて確認してみます。数がありますので、まずは前半部分のプラグイン。
BootExecutePlugin : Plug-in to collect the BootExecute Value from the Session Manager key.
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager
http://technet.microsoft.com/en-us/library/cc963230.aspx
システム起動時に自動的に実行されるプログラムの確認
BootVerificationPlugin : Plug-in to collect the Boot Verification Key.
HKLM\SYSTEM\CurrentControlSet\Control\BootVerificationProgram
http://technet.microsoft.com/en-us/library/cc782537(v=ws.10).aspx
このキーが存在する事はレアなので、キーが存在する場合には不審な状況
CCleanerPlugin : Gathers the CCleaner Keys for NTUSER hive.
NTUSER⇒ \\Software\\Piriform\\CCleaner
CCleanerキーの有無を確認
DefaulTerminalServerClientMRUPlugin : Gathers the Default key for the User hive.
NTUSER⇒ \\Software\\Microsoft\\Terminal Server Client\\Default
リモートデスクトップクライアントで接続した情報(コンボボックス)
DefaultPlugin : Basic plugin to extract minimal information from registry keys.
レジストリタイプ:ALL、レジストリキー:\
レジストリキーから最小情報の収集(キー名と値)
LocalDevicesTerminalServerClientMRUPlugin : Gathers the LocalDevices key for the User hive.
NTUSER⇒ \\Software\\Microsoft\\Terminal Server Client\\LocalDevices
信頼されるリモート接続に関するキー
MRUListPlugin : A Registry plugin for keys that contain a MRUList value.
レジストリタイプ:ALL
キー配下にあるMRUListタイプの値をパースする
参照されているURL:http://forensicartifacts.com/tag/mru/
MRUexPlugin : A simple generic MRU plugin for entries with a MRUListEx.
レジストリタイプ:ALL
キー配下にあるMRUListExタイプの値をパースする
参照されているURL:http://forensicartifacts.com/2011/02/recentdocs/
★以下Ofice関連キーについて参考になるURL:
http://ad-pdf.s3.amazonaws.com/Microsoft_Office_2007-2010_Registry_ArtifactsFINAL.pdf
MSAccess2010FileMRU : Gathers the MS Access File 2010 MRU keys for the User hive.
NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\Access\File MRU
AccessのFile MRUをパース
MSAccess2010PlaceMRU : Gathers the MS Access Place 2010 MRU keys for the User hive.
NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\Access\Place MRU
ファイルを開いたパスのMRUをパース
MSExcel2010FileMRU : Gathers the MS Excel 2010 File MRU keys for the User hive.
NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\Excel\File MRU
MSExcel2010PlaceMRU : Gathers the MS Excel 2010 Place MRU keys for the User hive.
NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\Excel\Place MRU
MSOutlook2010SearchMRUPlugin : Gathers MS Outlook 2010 Data File locations from
the User hive.
NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\Outlook\\Search
PSTファイルのパスをパース(MSOutlook2010Catalogも同じ?)
MSOutlook2013SearchMRUPlugin : Gathers MS Outlook 2013 Data File locations from the User hive.
NTUSER⇒ ???
MSPowerPoint2010FileMRU : Gathers the MS PowerPoint File 2010 MRU keys for the User hive.
NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\PowerPoint\\File MRU
MSPowerPoint2010PlaceMRU : Gathers the MS PowerPoint Place 2010 MRU keys for the User hive.
NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\PowerPoint\\Place MRU
MSWord2010FileMRU : Gathers the MS Word File 2010 MRU keys for the User hive.
NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\Word\\File MRU
MSWord2010PlaceMRU : Gathers the MS Word Place 2010 MRU keys for the User hive.
NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\Word\\Place MRU