一方的に書き連ねるブログ

航海してすぐ後悔

マルウェア感染が疑わしい際の応急調査 レジストリ編

マルウェア感染が疑わしい際、調査すべき項目がいくつかあります。

今回はフォレンジックの観点から有効(と思われる)ポイントをいくつか紹介します。

 

今回はレジストリ編です。

 

 


レジストリとは

 

レジストリにはユーザやマシンの設定情報が格納されている、中央階層型のデータベースです。
システム起動時にメモリに組み込まれます。

格納されるデータにはコンピュータ全体の設定やユーザの行動履歴等があります。
例えばOSの設定、ソフトウェアは設定やファイルへのアクセス履歴やソフトウェアの実行履歴等です。

基本的にはレジストリはシャットダウン時に更新されます。


レジストリファイルの入手方法については下記記事をご参照ください。

 

lip-slips.hatenablog.com

 

 


レジストリ調査に有用なツール

 

レジストリ調査には有用なツールがいくつかあります。
参考までにURL等を共有しておきます。(全部フリーツールです)

 

- Regripper

github.com

有名なレジストリ解析ツールです。
使い方に関しては下記ブログが丁寧に紹介してくれているのでご参照ください。
(決して手抜きではないんだからねっ!)

 

kieft.hateblo.jp

 


- Windows Registry Recovery

http://www.mitec.cz/wrr.html

 

インストール不要ですぐ実行できるレジストリ解析ツールです。
インポート機能に対応しており、左側のメニューから直感的に操作できます。
パース時にCPUが高付加で張り付くのが難点。

 

 

- KaniReg

github.com

日本語マニュアルが付属している。
できるだけユーザの操作が必要なく使用できる。UIも日本語でわかりやすい。

 


- Registry Viewer

accessdata.com

以前このブログで紹介したFTK Imagerの開発元であるAccessData社製のレジストリ解析ツール。無料で使えるデモモードだと一部機能に制限がかかるが、簡単な調査であれば十分。
強力な検索機能や、16進数値の変換等、調査時における様々な便利機能が搭載されている。
おすすめ!

 

 


マルウェア感染時に調査すべきレジストリハイブ

 

マルウェア感染時にもレジストリ調査は有用です。
自動実行に登録されていないか、ユーザークリックにより実行されたのか、等を判別することができます。
レジストリ調査時に頻繁に見る箇所をいくつか挙げようと思います。

 


Windows起動時の自動実行の設定


PC起動時や、ユーザーログオン時等に自動で実行される設定が登録されているかどうかについては、下記ハイブを確認します。
マシン全体と、特定のユーザーログオン時で格納されているハイブが異なります。

 

マシン全体
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run or RunOnce or RunOnceEx or RunServices


特定ユーザーログオン時
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run or RunOnce or RunOnceEx or RunServices


このキーにフルパスで登録されています。

 

 

 

インストールされたソフトウェアの調査

HKEY_LOCAL_MACHINE\Microsoft\Windows\CurrentVersion\Uninstall

 

コントロールパネル > プログラムと機能 に表示されるプログラムの場合はこのキーに設定が登録されています。
しかし通常マルウェアはこのキーに登録されるような手法は用いません。
その場合はSOFTWAREレジストリの未使用領域を対象にデータ復元等を行い、過去にインストールされたソフトウェアの有無を調査します。

 

基本的には以上の項目をチェックします。


ユーザ自身がファイルクリックしたことによる感染の場合ですと、
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
等を確認したりします。
また
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU
を確認することで、「ファイル名を指定して実行」によって実行されたソフトウェアの情報を確認できます。

 

 

 


終わりに

今日はレジストリ編ということで、マルウェア感染時に確認すべきキーや、調査に有用なツールを紹介しました。

私はコードが読めないし、書けないのでリバースエンジニアリングやら逆アセンブルやらデコンパイルやらはよくわかりません。
将来的にはIDAをブンブンのブンしてマルウェア本体の解析もできるようになっていきたいですね。