UJP - 技術情報2 : Windows 10にSysinternalsのAutorunを入れて実行してみる Windows10/Sysinternals/Autorun

UJP - 技術情報2 : Windows 10にSysinternalsのAutorunを入れて実行してみる Windows10/Sysinternals/Autorun

Life is fun and easy!	不正IP報告数	Okan Sensor

メイン

ログイン

パスワード再発行手続き |無料会員入会手続へ...

ブログ　カテゴリ一覧

雑記(247)
投資で凍死(340)
時事(535)
テレビ・ドラマ(442)
映画(933)
- 007シリーズ(33)
- 刑事コロンボ(63)
災害(215)
スキルチャージ(49)
- 放送大学(23)
- Python(10)
- 検定・試験(32)
セキュリティ(5)
- ニュース・徒然(328)
- 事故・事件(105)
- スパム・フィッシング(725)
- ツール(131)
- 脆弱性情報／注意喚起(110)
- 攻撃／ブルートフォース(24)
- ベンダ・サービス(3)
- 文献・統計・参考資料(130)
- 事故被害者記録(49)
あとで確認(1)
システム障害事故(55)
サイト構築(74)
Apple(20)
- MacBook Pro(0)
  - 2007 15inch(1)
  - 2011 13inch(31)
  - 2008 17inch(20)
  - 2015 15inch(6)
- Mac Pro 2013(13)
- Apple Watch(87)
- mac mini(0)
  - 2018(1)
  - 2011 server(6)
  - 2010 server(5)
  - 2014(15)
  - 2010(38)
  - 2005(8)
- MacBook(0)
  - 2017 12inch(11)
  - 2008 late(46)
- MacBook Air(0)
  - 2011 13inch(8)
  - 2011 11inch(31)
  - 2013 13inch/US(5)
  - 2011 13inch/BCP(9)
- Macソフト(136)
- Mac周辺機器(39)
- PowerBook(5)
- iPod touch/iOS(59)
- iPhone(175)
- iPad(78)
- Macintosh(1)
ガジェット(124)
- fire tv(1)
- 文房具(24)
- HUAWEI Watch FIT(10)
- カメラ／デジカメ(42)
  - タイムラプス(6)
- ネットワーク機器(18)
  - ネットワークケーブル(4)
  - ネットワークその他(8)
  - ネットワークスピード(14)
  - YAMAHA／ヤマハ(1)
    - FWX120(2)
    - RTX1200(14)
    - RTX1100/RTX1000(10)
    - RT107e(2)
  - NETGEAR WAC510(11)
  - NERGEAR Orbi(1)
  - Panasonic MNOseries(3)
- マウス＆キーボード(60)
- AV機器・レグザ(100)
- 電球(12)
ハウツー(116)
GPS/地図(70)
ビジネス(170)
- 新規ビジネス(19)
- お仕事(63)
- ケータイビジネス(42)
PC(11)
- Raspberry Pi(59)
- ML110 G5(20)
- LIFEBOOK(11)
- Surface(55)
- ThinkPad R61(5)
- CF-LX4(9)
- CF-RZ6(7)
- DynabookPT45(8)
- PN-ZP30(5)
- EndeavorTN40(4)
- Intel NUC6CAYS(4)
モバイル(16)
- スマホアプリ(73)
- ケータイスマホ機種(34)
- データ通信・契約(84)
- EMONSTER(5)
- IDEOS(12)
- Galaxy Note/A25(41)
- Windows Phone(20)
- Nexus(22)
コンピュータ(11)
- Windows(90)
- クライアントソフト(81)
- サーバソフト(32)
  - Db2(16)
インターネット(70)
- Google(123)
- ネットサービス(161)
ハードウェア(19)
- ディスプレイ(14)
- ストレージ(8)
- プリンタ(10)
情報システム(95)
趣味(3)
- ポケモンGO(657)
- 寝台特急カシオペア/カシオペア紀行(34)
- TOKYO2020(85)
- 雑草雑木伐採防草族(61)
- 食べた(210)
  - たべた（駅弁）(30)
  - 飲んだ(33)
  - 調理した(25)
  - ラーメン・麺類(202)
- 鉄道(241)
- 農園(173)
- アクアリウム(165)
- 書評(45)
- ホテル・旅館(44)
- 演劇(23)
- 車・バイク(79)
- 自然・星(37)
- 散策・近代建築(18)
- 神社・寺(50)
- 高層ビル(24)
- 現代建築(15)
- 建築物(6)
- 観光・名所(89)
- イベント(82)
- 散策：城(34)
- ディズニー(24)
- モーターショー(16)
- 鳥(9)
- 美術館(28)
- コンサート/ライブ(83)
- 船(3)
- スポーツ(124)
- 音楽(81)
- ミニカー(4)
- Nゲージダイキャスト(8)
- Nゲージ(0)
- サマリ(6)
- ピンバッチ(3)
サイト運営(39)
人生(73)
- 監視/防犯/みまもり/遠隔(113)
- お金の話(97)
- 体・病気(124)
- 相続・土地売買(33)
コンテンツ更新情報(2)

Table of contents

Windows 10にSysinternalsのAutorunを入れて実行してみる

Windows 10にSysinternalsのAutorunを入れて実行してみる

はじめに

　フォレンジックツール？の代表的なものといえる，Autorunsをインストールして，どういう情報を参照できるか把握する．

入手

　Sysinternalsのサイトから無料で入手可能．

Autoruns for Windows v13.96
- https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns

　検索して最初に出てくる日本語のサイトにあるリンクだとダウンロードできないので注意．（2020年5月22日現在）

　今回利用したのは，このバージョン．

index.php?page=view&file=7178&autorunsVersion.png

　2019年リリースのv13.96．

ZIPを展開する

　ダウンロードしたファイルは次の通り．

index.php?page=view&file=7081&autoruns01.png

　ファイルを展開する．

index.php?page=view&file=7080&autoruns02.png

　今回は，64bitマシンなので，Autoruns64.exeを実行する．

Autoruns64.exeを実行

　エクスプローラで開く．

index.php?page=view&file=7079&autoruns03.png

　初回のみ，ライセンス同意ダイアログ．

index.php?page=view&file=7078&autoruns04.png

　いろいろなタブに情報が表示されていることが確認できる．

Everythingタブを確認

　Autorunsには多くの情報が表示されているが，デフォルトで表示されているEverythingタブを確認してみる．

index.php?page=view&file=7078&autoruns04.png

　たとえば，タスクスケジューラで何が登録されているか確認できる．

差分比較

　autorunsを実行すると，現在の構成情報を収集しているが，この時の情報を保存する．

index.php?page=view&file=7177&autoruns05.png

　FileメニューのSaveを選択．

index.php?page=view&file=7176&autoruns06.png

　現在の状態をBefore.arnとしてとして保存する．

　このあと，プログラムをインストールしたりOSアップデートを行いシステム構成に変化をつける．

　その状態から，以前保存したbefore.arnファイルと比較を行う．

index.php?page=view&file=7175&autoruns07.png

　Compareを選択．　

index.php?page=view&file=7174&Autoruns08.png

　変化点がないというエラーになる．

　autorunsは，実行する都度，情報を収集するので，情報が更新されてない．

　今回の場合，再度autorunsを実行する．autorunsを再起動すると，構成情報が再度収集される．

index.php?page=view&file=7173&autoruns09.png

　変化のあったファイルが確認できた．

　この場合，Windowsの起動の際に自動的にプログラムが起動するよう設定してあることが確認できた．

VirusTotalとの連携

　変化のあったファイルを，マルウェアかどうかチェックをする．

index.php?page=view&file=7172&autoruns10.png

　ファイルを選択し，Check VirusToitalを選択．

index.php?page=view&file=7171&autoruns11virustotal.png

　　

index.php?page=view&file=7170&autoruns12resumeVireusTotal.png

　

index.php?page=view&file=7169&autoruns13ViruslTotalScore.png

　

index.php?page=view&file=7168&autoruns14VirusTotalSite.png

　Webブラウザが開き，VirusTotalのサイトにアクセスされる．

Process Explorerとの連携

　同じSysinternalsで提供されている，Process Explorerと連携させることができる．

index.php?page=view&file=7167&autoruns15ProcessExplorer.png

　ただし，Process Explorerを予め起動しておく必要がある．　

index.php?page=view&file=7166&autoruns16processExplorer.png

　起動した状態．

index.php?page=view&file=7165&autoruns17ProcessExplorerMenu.png

　メニューからProcessExplorerを選択．

index.php?page=view&file=7164&autoruns18.png

　今回の場合，Runsに登録されているプログラムが起動していたので，プロセスの詳細情報を取得することができた．

Counter: 2580, today: 2, yesterday: 3

Last-modified: 2020-05-29 (Fri) 01:29:55 (JST) (2170d) by nobuaki

広告スペース