RegistryとFile format(3)
レジストリから値を削除し、変化を確認します。
サンプルとして、HKEY_CURRENT_USER\Environment 配下にUserInitMprLogonScript値を作成します。
この値はAPT28で自動起動の手口としても利用されています。
この値のオフセット位置を確認します。
Registry Explorer の Technical Details で Relative offset を確認します。
オフセット位置は 4096+968=5064 になります。
次に、Value list cell index のオフセットを確認します。
オフセット位置は 4096+443352=447448 となります。 Value countは5ですから、5個の値があります。
NTUSER.DAT のオフセット 447448 を参照します。
E0 FF FF FF -32
C8 18 01 00 ⇒ 71880 ⇒ Path
58 19 01 00 ⇒ 72024 ⇒ TEMP
D0 19 01 00 ⇒ 72144 ⇒ TMP
B8 4D 07 00 ⇒ 478648 ⇒ OneDrive
A8 C3 06 00 ⇒ 443304 ⇒ UserInitMprLogonScript ⇒ 4096+443304=447400
A8 C3 06 00 ⇒ 443304
00 00 41 00 ⇒ 4259840
Registry Explorer では下記から確認できます。Data のオフセット位置は 4096+930600 =934696 です。
オフセット位置934696で値を確認します。
値を削除
レジストリ Environment キーからUserInitMprLogonScript値を削除します。
Registry ExplorerからNTUSER.DATを参照し、UserInitMprLogonScript値が無い事を確認します。
値を削除した後のNTUSER.DAT で、オフセット 447448 を参照します。Value list cell index の内容を確認します。 Value countは4となっています。
E0 FF FF FF
C8 18 01 00
58 19 01 00
D0 19 01 00
B8 4D 07 00
A8 C3 06 00 ⇒ 443304 ⇒ UserInitMprLogonScript ⇒ 4096+443304=447400
A8C30600
00004100
NTUSER.DAT のオフセット 447400 を確認します。
NTUSER.DAT のオフセット位置 4096+930600 =934696 で Data 内容を確認します。
削除された値を確認できました。
次はLOGファイルを確認してみたいと思います。
参考URL: