SANS ポスター:Windows Artifact Analysis(20) Program Execution
SANS Windows Artifact Analysis ポスターにあるカテゴリ、Program Executionについて見ていきたいと思います。プログラム実行に関するアーティファクトという事で、以下の項目がリストアップされています。
- UserAssist
- Last-Visited MRU
- RunMRU Start->Run
- Application Compatibility Cache
- Win7 Jump Lists
- Prefetch
- Service Events
最初の 4つ、UserAssist、Last Visited MRU、RunMRU、Application Compatibility Cache はレジストリ内に含まれている情報、Win7 Jump Lists はファイルとして、Service Eventsはイベントログに関連した項目になります。
Last-Visited MRU は Windows Shell Item 構造でデータが保存されますので、これはパースするツールに注意を払う必要があります。
RunMRU Start->Run は HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 配下の値ですが、この値は文字列がそのまま記入されていますので、このパースで問題が出る事はないと思います。