LNKファイルのShell item構造を確認します。 USBメモリ上にある、Example.jpgを参照し、RecentフォルダにLNKファイルを生成します。 Windows Shortcut File format specification を参考に、LNKファイルのFile headerを確認します。オフセット20からの4バイ…

レジストリファイルのAccess Bitsを確認します。検証環境はWindows 10 1709です。 サンプルのレジストリキーをHKCU(NTUSER.DAT)配下に作成します。 yarp-printを利用し、Exampleキーを作成したNTUSER.DATをパースします。ExampleキーのAccess Bits値は2とな…

Registry Explorerを利用する事で、レジストリのトランザクションログファイルを反映したハイブファイルを作成できます。 トランザクションログを反映した、SYSTEMハイブファイルを利用し、タイムラインを作成してみます。 トランザクションログを反映したSY…

HKLM\SYSTEM\CurrentControlSet\Services\bam\ キーを引き続き確認します。今回はレジストリのTransaction Logを、Registry Explorer/RECmd Version 1.0.0.0を使って参照したいと思います。 Live環境でのトランザクションログの取得には、RawCopyを利用しま…