レジストリのバイナリ構造について確認します。レジストリファイルの構造については、「Windows registry file format specification」の資料を参考にします。 サンプルのレジストリファイルは Windows 10 のNTUSER.DAT を利用します。 Base Block 72 65 67 …

タイムスタンプを変更した場合の、USN ジャーナルの動作について確認してみます。検証環境は Windows 10 1709 です。 E:ドライブに crocodile.jpg ファイルをコピーし、USN Journal を確認します。 fsutil usn readjournal e: csv > output.csv Autopsy で $…

トレンドマイクロ社のブログ「ChessMaster’s New Strategy: Evolving Tools and Tactics」には下記の記述があります。 The Powershell script leverages RegisterXLL, which is a component of Excel, to load BKDR_ANEL into Excel.exe マルウェアは Excel …

Windows 10 ver 1709 上での sdelete コマンドの動作について。 Sdelete コマンドについては、Kazamiya さんが「SDelete | Forensicist」に詳しく整理されていますので、そちらを参照ください。 Picturesフォルダに JPEG ファイルを置いてあります。このボリ…

Rundll32.exe を利用した DLL 実行と、プリフェッチファイルの関係について確認してみます。テストした環境は Win 10 1709 Build 16299.15 です。 DLL ファイルには、Didier Stevens さんの作られた cmd.dll を利用します。 Rundll32 Windows\Prefetch フォ…