ホワイトブラックリスト作成ツールの操作名“レジストリ書き込み”の出力内容について、具体例を挙げて説明してください。
以下の例は、コマンドプロンプトからreg.exeを使用して、スタートアップレジストリに値("Test")を書き込んだ際の“レジストリ書き込み”の履歴例になります。
履歴例は表示モードが“全て表示する”、リストモードが“分割モード”での表示内容になります。ホワイトブラックリスト作成ツールの[表示]-[表示モード]-[全てを表示]、[表示]-[リストモード]-[分割モード]で切り替わります。
なお、[表示]-[リストモード]-[H4Eモード]で表示すると、“どこから(どのように)”“何が”“どこへ(何を)”“何した”の形式で分かりやくす表示されますので、合わせてご確認ください。
<履歴内容>
項目 | 履歴例 |
アプリ設定 | 未設定 |
動作設定 | 未設定 |
日付 | 2015/04/15 18:38:048 |
親プロセス名 | cmd.exe |
親プロセス種別 | コマンドプロンプト(手動起動) |
パス | C:\Windows\system32\ |
ファイル名 | reg.exe |
スクリプト名 | |
インタプリタ名 | |
起動場所 | |
会社名 | Microsoft Corporation |
デジタル署名 | 署名無 |
パス説明 | レジストリ(スタートアップレジストリ) |
対象パス | \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Test |
操作名 | レジストリ書き込み |
種類 | DeP履歴(設定対象):警告パネルが表示される操作が検知されました |
追加情報 | |
備考 | |
バージョン | 6.1.7600.16385 (win7_rtm.090713-1255) |
ファイルサイズ | 62464.0 |
更新日付 | 2009-07-14 10:14:00 +0900 |
ハッシュ値 | 36414c7e57afa6136d77fd47f4c55102e35f2475fbcd719728da7d14b1590e2a |
大項目 | |
中項目 | |
小項目 | |
マシン名 | PC0010 |
ユーザ名 | UserID |
<説明>
・レジストリに値を書き込んだプログラムのファイル名は、ファイル名欄に表示されます。
→ reg.exe
・reg.exeのプログラムのパスは、パス欄に表示されます。
→C:\Windows\system32\
・reg.exeを起動したプロセスは、親プロセス欄に表示されます。
→cmd.exe
・親プロセスについて説明がある場合は、親プロセス種別に表示されます。
→コマンドプロンプト
・reg.exeの情報(プロパティ情報等)が以下のように表示されます。
会社名:Microsoft Corporation
デジタル署名:署名無
バージョン:6.1.7600.16385 (win7_rtm.090713-1255)
ファイルサイズ:62,464 (単位バイト)
更新日付:2009/7/14 10:14:00
ハッシュ値:36414c7e57afa6136d77fd47f4c55102e35f2475fbcd719728da7d14b1590e2a
・reg.exeでスタートアップレジストに値を書き込んだユーザー、マシン、日付は以下のように表示されます。
ユーザ名:UserID
マシン:PC0010
日付:2015/04/15 18:38:048
・対象パス欄には、ホワイトブラックリストに登録する際の対象レジストリパスの値が表示されます。
→\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Test
・パス説明欄には、ホワイトブラックリストに登録する際の対象動作一覧の値が表示されます。
→レジストリ(スタートアップレジストリ)
・ホワイトブラックリストへ追加するべきかの補足情報については以下に表示されます。
アプリ設定:未設定
動作設定:未設定
種類 :DeP履歴(設定対象):警告パネルが表示される操作が検知されました
更新日時:2016/04/01
NO:DB00130108