読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Log2timeline.py(Plaso)によるタイムラインの作成(17)

Log2timeline(Plaso)の WinRegistryParser ですが、複数のプラグインが含まれています。Registry Plugins としてリストアップされる項目について、それぞれが参照しているレジストリキーについて確認してみます。数がありますので、まずは前半部分のプラグイン。

 

BootExecutePlugin : Plug-in to collect the BootExecute Value from the Session Manager key.

HKLM\SYSTEM\CurrentControlSet\Control\Session Manager

http://technet.microsoft.com/en-us/library/cc963230.aspx

システム起動時に自動的に実行されるプログラムの確認

 

BootVerificationPlugin : Plug-in to collect the Boot Verification Key.

HKLM\SYSTEM\CurrentControlSet\Control\BootVerificationProgram

http://technet.microsoft.com/en-us/library/cc782537(v=ws.10).aspx

このキーが存在する事はレアなので、キーが存在する場合には不審な状況

 

CCleanerPlugin : Gathers the CCleaner Keys for NTUSER hive.

NTUSER⇒ \\Software\\Piriform\\CCleaner

CCleanerキーの有無を確認

 

DefaulTerminalServerClientMRUPlugin : Gathers the Default key for the User hive.

NTUSER⇒ \\Software\\Microsoft\\Terminal Server Client\\Default

リモートデスクトップクライアントで接続した情報(コンボボックス)

 

DefaultPlugin : Basic plugin to extract minimal information from registry keys.

レジストリタイプ:ALL、レジストリキー:\

レジストリキーから最小情報の収集(キー名と値)

 

LocalDevicesTerminalServerClientMRUPlugin : Gathers the LocalDevices key for the User hive.

NTUSER⇒ \\Software\\Microsoft\\Terminal Server Client\\LocalDevices

信頼されるリモート接続に関するキー

 

MRUListPlugin : A Registry plugin for keys that contain a MRUList value.

レジストリタイプ:ALL

キー配下にあるMRUListタイプの値をパースする

参照されているURL:http://forensicartifacts.com/tag/mru/

 

MRUexPlugin : A simple generic MRU plugin for entries with a MRUListEx.

レジストリタイプ:ALL

キー配下にあるMRUListExタイプの値をパースする

参照されているURL:http://forensicartifacts.com/2011/02/recentdocs/

 

★以下Ofice関連キーについて参考になるURL:

http://ad-pdf.s3.amazonaws.com/Microsoft_Office_2007-2010_Registry_ArtifactsFINAL.pdf

 

MSAccess2010FileMRU : Gathers the MS Access File 2010 MRU keys for the User hive.

NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\Access\File MRU

AccessのFile MRUをパース

 

MSAccess2010PlaceMRU : Gathers the MS Access Place 2010 MRU keys for the User hive.

NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\Access\Place MRU

ファイルを開いたパスのMRUをパース

 

MSExcel2010FileMRU : Gathers the MS Excel 2010 File MRU keys for the User hive.

NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\Excel\File MRU

 

MSExcel2010PlaceMRU : Gathers the MS Excel 2010 Place MRU keys for the User hive.

NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\Excel\Place MRU

 

MSOutlook2010SearchMRUPlugin : Gathers MS Outlook 2010 Data File locations from

 the User hive.

NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\Outlook\\Search

PSTファイルのパスをパース(MSOutlook2010Catalogも同じ?)

 

MSOutlook2013SearchMRUPlugin : Gathers MS Outlook 2013 Data File locations from the User hive.

NTUSER⇒ ???

 

MSPowerPoint2010FileMRU : Gathers the MS PowerPoint File 2010 MRU keys for the User hive.

NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\PowerPoint\\File MRU

 

MSPowerPoint2010PlaceMRU : Gathers the MS PowerPoint Place 2010 MRU keys for the User hive.

NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\PowerPoint\\Place MRU

 

MSWord2010FileMRU : Gathers the MS Word File 2010 MRU keys for the User hive.

NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\Word\\File MRU

 

MSWord2010PlaceMRU : Gathers the MS Word Place 2010 MRU keys for the User hive.

NTUSER⇒ \\Software\\Microsoft\\Office\\14.0\\Word\\Place MRU