@port139 Blog

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

Bam KeyとTransaction Log

  HKLM\SYSTEM\CurrentControlSet\Services\bam\ キーを引き続き確認します。
今回はレジストリのTransaction Logを、Registry Explorer/RECmd Version 1.0.0.0を使って参照したいと思います。

Live環境でのトランザクションログの取得には、RawCopyを利用します。
コピーのタイミングとしては、若干のズレが発生する可能性が考えられます。(BATファイルでコマンド実行しています。)

REM C:\Windows\System32\config\SYSTEM
RawCopy /FileNamePath:C:79240 /OutputPath:C:\Case

REM C:\Windows\System32\config\SYSTEM.LOG1
RawCopy /FileNamePath:C:79219 /OutputPath:C:\Case

REM C:\Windows\System32\config\SYSTEM.LOG2
RawCopy /FileNamePath:C:79218 /OutputPath:C:\Case

 もしかすると、VSSでスナップショットを作成してからファイルを確認する方が確実かもしれません。

サンプルのプログラムとしてfteを実行します。 

 

RawCopyでコピーしたSYSTEMハイブをRegistry Explorerで読み込みます。Dirtyハイブである事が検知されます。

f:id:hideakii:20180303100024p:plain

下記では、Dirtyハイブロードしました。

f:id:hideakii:20180303104921p:plain

まず、DirtyハイブでBAMキーと値を確認します。タイムスタンプが 2018-03-03 00:54:51 である事を確認できます。

f:id:hideakii:20180303104759p:plain

次に、トランザクションログ(LOG1)を反映したSYSTEMハイブでBAMキーと値を確認します。タイムスタンプが 2018-03-03 01:29:44 である事を確認できます。

f:id:hideakii:20180303105150p:plain

次に、トランザクションログ(LOG2)を反映したSYSTEMハイブでBAMキーと値を確認します。タイムスタンプが 2018-03-03 00:54:51 である事を確認できます。

f:id:hideakii:20180303105502p:plain

トランザクションログを適用する事で、最新の情報を確認できる事が分かります。

参考URL:

https://twitter.com/errno_fail/status/967831155310518272

https://twitter.com/EricRZimmerman/status/968897244232671234

http://ericzimmerman.github.io/

https://twitter.com/4n6k/status/968315227350749184

insights.arsenalexperts.com

https://www.linkedin.com/pulse/alternative-prefetch-bam-costas-katsavounidis

github.com

www.youtube.com

 

f:id:hideakii:20180303091549j:plain