2006-04-09
拾ってきた Registry を読む
他のマシンから拾ってきたレジストリを読む方法を調べてみた。
レジストリ HKLM\SOFTWARE の実体は C:\WINNT\system32\config\software というファイル、このファイルを他のマシンから拾ってくればそのマシン上の HKLM\SOFTWARE の内容がわかることになる。
調査の結果、 regedt32.exe で [レジストリ]->[ハイブのロード]を選択して拾ってきたファイルを選択、その後キー名を聞かれるので適当にXXXとか入力すると良いらしい。
十分楽しんだら、[ハイブのアンロード]を忘れないように…
ちなみに拾ってきた何かを読む方法は、コンピュータ・フォレンジックという分野の人たちが詳しい。
日本では伊原さんって人が第一人者だと思う。
レジストリ HKLM\SOFTWARE の実体は C:\WINNT\system32\config\software というファイル、このファイルを他のマシンから拾ってくればそのマシン上の HKLM\SOFTWARE の内容がわかることになる。
調査の結果、 regedt32.exe で [レジストリ]->[ハイブのロード]を選択して拾ってきたファイルを選択、その後キー名を聞かれるので適当にXXXとか入力すると良いらしい。
十分楽しんだら、[ハイブのアンロード]を忘れないように…
ちなみに拾ってきた何かを読む方法は、コンピュータ・フォレンジックという分野の人たちが詳しい。
日本では伊原さんって人が第一人者だと思う。
