Life is fun and easy!
不正IP報告数
Okan Sensor
ページへ戻る
− Links
印刷
Windows10/Sysinternals/Autorun
の編集 ::
UJP
tech_regist2
:
Windows10
/
Sysinternals
/
Autorun
の編集
Windows10/Sysinternals/Autorun の編集
詳細な入力項目を表示
ページタイトル
( 空白で自動設定 )
:
ページ並び順
( 0-9 小数可 標準:1 )
:
ページ別名
(複数は[
改行
]で区切る)
:
ページ内容:
*Windows 10にSysinternalsのAutorunを入れて実行してみる [#ye96a36e] **はじめに [#p1a9a9df] フォレンジックツール?の代表的なものといえる,Autorunsをインストールして,どういう情報を参照できるか把握する. **入手 [#va749c94] Sysinternalsのサイトから無料で入手可能. -Autoruns for Windows v13.96 --https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns 検索して最初に出てくる日本語のサイトにあるリンクだとダウンロードできないので注意.(2020年5月22日現在) 今回利用したのは,このバージョン. #ref(site://modules/xelfinder/index.php?page=view&file=7178&autorunsVersion.png,center) 2019年リリースのv13.96. **ZIPを展開する [#f51fc556] ダウンロードしたファイルは次の通り. #ref(site://modules/xelfinder/index.php?page=view&file=7081&autoruns01.png,center,mw:600,mh:600) ファイルを展開する. #ref(site://modules/xelfinder/index.php?page=view&file=7080&autoruns02.png,center,mw:600,mh:600) 今回は,64bitマシンなので,Autoruns64.exeを実行する. **Autoruns64.exeを実行 [#ye7bed0d] エクスプローラで開く. #ref(site://modules/xelfinder/index.php?page=view&file=7079&autoruns03.png,center) 初回のみ,ライセンス同意ダイアログ. #ref(site://modules/xelfinder/index.php?page=view&file=7078&autoruns04.png,center,mw:600,mh:600) いろいろなタブに情報が表示されていることが確認できる. **Everythingタブを確認 [#pda92f57] Autorunsには多くの情報が表示されているが,デフォルトで表示されているEverythingタブを確認してみる. #ref(site://modules/xelfinder/index.php?page=view&file=7078&autoruns04.png,center,mw:600,mh:600) たとえば,タスクスケジューラで何が登録されているか確認できる. **差分比較 [#za24ed30] autorunsを実行すると,現在の構成情報を収集しているが,この時の情報を保存する. #ref(site://modules/xelfinder/index.php?page=view&file=7177&autoruns05.png,center) FileメニューのSaveを選択. #ref(site://modules/xelfinder/index.php?page=view&file=7176&autoruns06.png,center,mw:600,mh:600) 現在の状態をBefore.arnとしてとして保存する. このあと,プログラムをインストールしたりOSアップデートを行いシステム構成に変化をつける. その状態から,以前保存したbefore.arnファイルと比較を行う. #ref(site://modules/xelfinder/index.php?page=view&file=7175&autoruns07.png,center) Compareを選択. #ref(site://modules/xelfinder/index.php?page=view&file=7174&Autoruns08.png,center) 変化点がないというエラーになる. autorunsは,実行する都度,情報を収集するので,情報が更新されてない. 今回の場合,再度autorunsを実行する.autorunsを再起動すると,構成情報が再度収集される. #ref(site://modules/xelfinder/index.php?page=view&file=7173&autoruns09.png,center,mw:600,mh:600) 変化のあったファイルが確認できた. この場合,Windowsの起動の際に自動的にプログラムが起動するよう設定してあることが確認できた. **VirusTotalとの連携 [#pe2de0c5] 変化のあったファイルを,マルウェアかどうかチェックをする. #ref(site://modules/xelfinder/index.php?page=view&file=7172&autoruns10.png,center,mw:600,mh:600) ファイルを選択し,Check VirusToitalを選択. #ref(site://modules/xelfinder/index.php?page=view&file=7171&autoruns11virustotal.png,center) #ref(site://modules/xelfinder/index.php?page=view&file=7170&autoruns12resumeVireusTotal.png,center,mw:600,mh:600) #ref(site://modules/xelfinder/index.php?page=view&file=7169&autoruns13ViruslTotalScore.png,center,mw:600,mh:600) #ref(site://modules/xelfinder/index.php?page=view&file=7168&autoruns14VirusTotalSite.png,center,mw:600,mh:600) Webブラウザが開き,VirusTotalのサイトにアクセスされる. **Process Explorerとの連携 [#w3eb39cd] 同じSysinternalsで提供されている,Process Explorerと連携させることができる. #ref(site://modules/xelfinder/index.php?page=view&file=7167&autoruns15ProcessExplorer.png,center) ただし,Process Explorerを予め起動しておく必要がある. #ref(site://modules/xelfinder/index.php?page=view&file=7166&autoruns16processExplorer.png,center,mw:600,mh:600) 起動した状態. #ref(site://modules/xelfinder/index.php?page=view&file=7165&autoruns17ProcessExplorerMenu.png,center,mw:600,mh:600) メニューからProcessExplorerを選択. #ref(site://modules/xelfinder/index.php?page=view&file=7164&autoruns18.png,center,mw:600,mh:600) 今回の場合,Runsに登録されているプログラムが起動していたので,プロセスの詳細情報を取得することができた.
編集の要約:
Q & A 認証:
ページ更新時は次の質問にお答えください。(プレビュー時は必要ありません)
Q:
日本の首都は?(漢字で)
A:
お名前:
タイムスタンプを変更しない
テキスト整形のルールを表示する
[1]
添付ファイル
[2]
:
Links list
(This host) = http://www.ujp.jp
(This host)
/modules/tech_regist2/?cmd=edit&help=true&page=Windows10%2FSysinternals%2FAutorun
(This host)
/modules/tech_regist2/?plugin=attach&pcmd=list&refer=Windows10%2FSysinternals%2FAutorun
![[PukiWiki]](http://www.ujp.jp/modules/tech_regist2/image/pukiwiki.png "[PukiWiki]")
