@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

RegistryとFile format(3)

レジストリから値を削除し、変化を確認します。
サンプルとして、HKEY_CURRENT_USER\Environment 配下にUserInitMprLogonScript値を作成します。
この値はAPT28で自動起動の手口としても利用されています。

f:id:hideakii:20171209114741p:plain

この値のオフセット位置を確認します。

Registry Explorer の Technical Details で Relative offset を確認します。
オフセット位置は 4096+968=5064 になります。

f:id:hideakii:20171209142903p:plain

 次に、Value list cell index のオフセットを確認します。
オフセット位置は 4096+443352=447448 となります。 Value countは5ですから、5個の値があります。

f:id:hideakii:20171209143216p:plain

NTUSER.DAT のオフセット 447448 を参照します。 

f:id:hideakii:20171209143539p:plain

E0 FF FF FF -32

C8 18 01 00 ⇒ 71880 ⇒ Path
58 19 01 00 ⇒ 72024 ⇒ TEMP
D0 19 01 00 ⇒ 72144 ⇒ TMP
B8 4D 07 00 ⇒ 478648 ⇒ OneDrive
A8 C3 06 00 ⇒ 443304 ⇒ UserInitMprLogonScript ⇒ 4096+443304=447400
A8 C3 06 00 ⇒ 443304
00 00 41 00 ⇒ 4259840 

Registry Explorer では下記から確認できます。Data のオフセット位置は 4096+930600 =934696 です。

f:id:hideakii:20171209144621p:plain

オフセット位置934696で値を確認します。

f:id:hideakii:20171209145341p:plain

 値を削除

レジストリ Environment キーからUserInitMprLogonScript値を削除します。

f:id:hideakii:20171209145806p:plain

Registry ExplorerからNTUSER.DATを参照し、UserInitMprLogonScript値が無い事を確認します。

f:id:hideakii:20171209150413p:plain

値を削除した後のNTUSER.DAT で、オフセット 447448 を参照します。Value list cell index の内容を確認します。 Value countは4となっています。

f:id:hideakii:20171209151400p:plain

E0 FF FF FF
C8 18 01 00
58 19 01 00
D0 19 01 00
B8 4D 07 00
A8 C3 06 00 ⇒ 443304 ⇒ UserInitMprLogonScript ⇒ 4096+443304=447400
A8C30600
00004100

NTUSER.DAT のオフセット 447400 を確認します。

f:id:hideakii:20171209151618p:plain

NTUSER.DAT のオフセット位置 4096+930600 =934696 で Data 内容を確認します。

f:id:hideakii:20171209152025p:plain

  削除された値を確認できました。

  次はLOGファイルを確認してみたいと思います。

参考URL:

 

port139.hatenablog.com

github.com

 

f:id:hideakii:20171209153323j:plain