RegistryとAccess bits - @port139 Blog

レジストリファイルのAccess Bitsを確認します。検証環境はWindows 10 1709です。

サンプルのレジストリキーをHKCU(NTUSER.DAT)配下に作成します。

f:id:hideakii:20180318072929p:plain

yarp-printを利用し、Exampleキーを作成したNTUSER.DATをパースします。ExampleキーのAccess Bits値は2となっています。
#yarp-print NTUSER.DAT

Hive information:

Last written timestamp (UTC): 1601-01-01 00:00:00
Last reorganized timestamp (UTC): 2018-03-12 09:31:35.325376

<snip>

Key path: Example
Last written timestamp (UTC): 2018-03-17 22:04:22.066882
Access bits: 2

Value name: Example
Value type: REG_SZ
Data size: 18
Data (decoded):
Evidence\00

Windows registry file format specificationを参照し、Access bitsのオフセット位置を確認します。Access Bits値はKey nodeのオフセット14から長さ4となっています。

Registry ExplorerのTechnical detailでnk レコードを確認してみます。0x02となっている事を確認できます。<2018/3/25 追記>最新版のRegistry ExplorerではAcces Flsgsという項目で状態を確認できるようになっています。

f:id:hideakii:20180318075443p:plain

Windows registry file format specificationでは、Access Bits が0x02の場合は下記の説明となっています。

0x2 This key was accessed after a Windows registry was initialized with the NtInitializeRegistry() routine during the boot

NTUSER.DAT内には0x01になっているキーが無かったので、SYSTEMハイブでAccess Bitsが1のキーを確認します。下記キーはAccess Bitsが0x01です。

Key path: ControlSet001\Control\ACPI
Last written timestamp (UTC): 2017-09-29 13:47:33.433594
Access bits: 1

Windows registry file format specificationでは、Access Bits が0x01の場合は下記の説明となっています。

0x1 This key was accessed before a Windows registry was initialized with the NtInitializeRegistry() routine during the boot

更に、Access Bitsが0x03のキーをSYSTEMハイブで確認してみます。例えばBAMキーはAccessBitsが3となっています。

Key path: ControlSet001\Services\bam
Last written timestamp (UTC): 2017-11-05 03:07:09.907890
Access bits: 3

最後に、Access Bitsが0x00のキーをNTUSER.DATハイブで確認してみます。

Last reorganized timestamp (UTC): 2018-03-12 09:31:35.325376

<snip>

Key path: Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU\bat
Last written timestamp (UTC): 2018-03-03 00:38:38.119818
Access bits: 0

上記キーはAccess Bits値が0x00です。このキーは2018-03-12 09:31:35以降アクセスされていないという事になるようですね。

詳しくは@errno_failさんのTweetを参照していただけると良いかと思います。

参考URL:

"The access history in hive X was cleared updating Y keys and creating Z modified pages" – this event message means that access bits of all keys in the specified registry hive were set to 0. The yarp-print tool will show the access bits for each registry key (Windows 8+). #DFIR pic.twitter.com/UHEZfOfIdm
— Maxim Suhanov (@errno_fail) 2018年3月11日

github.com

binaryforay.blogspot.jp

f:id:hideakii:20180318083553j:plain