レジストリファイルのAccess Bitsを確認します。検証環境はWindows 10 1709です。
サンプルのレジストリキーをHKCU(NTUSER.DAT)配下に作成します。
yarp-printを利用し、Exampleキーを作成したNTUSER.DATをパースします。ExampleキーのAccess Bits値は2となっています。
#yarp-print NTUSER.DAT
Hive information:
Last written timestamp (UTC): 1601-01-01 00:00:00
Last reorganized timestamp (UTC): 2018-03-12 09:31:35.325376<snip>
Key path: Example
Last written timestamp (UTC): 2018-03-17 22:04:22.066882
Access bits: 2Value name: Example
Value type: REG_SZ
Data size: 18
Data (decoded):
Evidence\00
Windows registry file format specificationを参照し、Access bitsのオフセット位置を確認します。Access Bits値はKey nodeのオフセット14から長さ4となっています。
Registry ExplorerのTechnical detailでnk レコードを確認してみます。0x02となっている事を確認できます。<2018/3/25 追記>最新版のRegistry ExplorerではAcces Flsgsという項目で状態を確認できるようになっています。
Windows registry file format specificationでは、Access Bits が0x02の場合は下記の説明となっています。
0x2 This key was accessed after a Windows registry was initialized with the NtInitializeRegistry() routine during the boot
NTUSER.DAT内には0x01になっているキーが無かったので、SYSTEMハイブでAccess Bitsが1のキーを確認します。下記キーはAccess Bitsが0x01です。
Key path: ControlSet001\Control\ACPI
Last written timestamp (UTC): 2017-09-29 13:47:33.433594
Access bits: 1
Windows registry file format specificationでは、Access Bits が0x01の場合は下記の説明となっています。
0x1 This key was accessed before a Windows registry was initialized with the NtInitializeRegistry() routine during the boot
更に、Access Bitsが0x03のキーをSYSTEMハイブで確認してみます。例えばBAMキーはAccessBitsが3となっています。
Key path: ControlSet001\Services\bam
Last written timestamp (UTC): 2017-11-05 03:07:09.907890
Access bits: 3
最後に、Access Bitsが0x00のキーをNTUSER.DATハイブで確認してみます。
Last reorganized timestamp (UTC): 2018-03-12 09:31:35.325376
<snip>
Key path: Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU\bat
Last written timestamp (UTC): 2018-03-03 00:38:38.119818
Access bits: 0
上記キーはAccess Bits値が0x00です。このキーは2018-03-12 09:31:35以降アクセスされていないという事になるようですね。
詳しくは@errno_failさんのTweetを参照していただけると良いかと思います。
参考URL:
"The access history in hive X was cleared updating Y keys and creating Z modified pages" – this event message means that access bits of all keys in the specified registry hive were set to 0. The yarp-print tool will show the access bits for each registry key (Windows 8+). #DFIR pic.twitter.com/UHEZfOfIdm
— Maxim Suhanov (@errno_fail) 2018年3月11日