読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

SANS ポスター:Windows Artifact Analysis(20) Program Execution

SANS Windows Artifact Analysis ポスターにあるカテゴリ、Program Executionについて見ていきたいと思います。プログラム実行に関するアーティファクトという事で、以下の項目がリストアップされています。

  • UserAssist
  • Last-Visited MRU
  • RunMRU Start->Run
  • Application Compatibility Cache
  • Win7 Jump Lists
  • Prefetch
  • Service Events

最初の 4つ、UserAssist、Last Visited MRU、RunMRU、Application Compatibility Cache はレジストリ内に含まれている情報、Win7 Jump Lists はファイルとして、Service Eventsはイベントログに関連した項目になります。

Last-Visited MRU は Windows Shell Item 構造でデータが保存されますので、これはパースするツールに注意を払う必要があります。
RunMRU Start->Run は HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 配下の値ですが、この値は文字列がそのまま記入されていますので、このパースで問題が出る事はないと思います。