Bam KeyとTransaction Log
HKLM\SYSTEM\CurrentControlSet\Services\bam\ キーを引き続き確認します。
今回はレジストリのTransaction Logを、Registry Explorer/RECmd Version 1.0.0.0を使って参照したいと思います。
Live環境でのトランザクションログの取得には、RawCopyを利用します。
コピーのタイミングとしては、若干のズレが発生する可能性が考えられます。(BATファイルでコマンド実行しています。)
REM C:\Windows\System32\config\SYSTEM
RawCopy /FileNamePath:C:79240 /OutputPath:C:\CaseREM C:\Windows\System32\config\SYSTEM.LOG1
RawCopy /FileNamePath:C:79219 /OutputPath:C:\CaseREM C:\Windows\System32\config\SYSTEM.LOG2
RawCopy /FileNamePath:C:79218 /OutputPath:C:\Case
もしかすると、VSSでスナップショットを作成してからファイルを確認する方が確実かもしれません。
サンプルのプログラムとしてfteを実行します。
RawCopyでコピーしたSYSTEMハイブをRegistry Explorerで読み込みます。Dirtyハイブである事が検知されます。
下記では、Dirtyハイブロードしました。
まず、DirtyハイブでBAMキーと値を確認します。タイムスタンプが 2018-03-03 00:54:51 である事を確認できます。
次に、トランザクションログ(LOG1)を反映したSYSTEMハイブでBAMキーと値を確認します。タイムスタンプが 2018-03-03 01:29:44 である事を確認できます。
次に、トランザクションログ(LOG2)を反映したSYSTEMハイブでBAMキーと値を確認します。タイムスタンプが 2018-03-03 00:54:51 である事を確認できます。
トランザクションログを適用する事で、最新の情報を確認できる事が分かります。
参考URL:
https://twitter.com/errno_fail/status/967831155310518272
https://twitter.com/EricRZimmerman/status/968897244232671234
http://ericzimmerman.github.io/
https://twitter.com/4n6k/status/968315227350749184
https://www.linkedin.com/pulse/alternative-prefetch-bam-costas-katsavounidis