免責事項
自分の管理してるマシンについてのみ行ってくださいね。
当たり前だけど、ここに書いた話勝手に試してトラブル起きても何ら責任負わんので。
はじめに
なんとなくレジストリを眺めてみたくなった。
とはいえ、ただ漠然と眺めるだけじゃなくて、ツール使って見る観点を絞りながら見ていこうと思う。
Registory Explorerを使って、どんな情報が入っているのかをまず見てみる
とりあえずユーザ関係で色々出てきそうなSAM(セキュリティアカウントマネージャ)あたりから見てみようと思う
ユーザの一覧
もはや言うまでもなくアカウント一覧が出てきたよね。
秘密の質問が書いてあったので見てみる。
これを入力するとパスワード再設定ができてログインができるわけですな。
この秘密の質問を設定したところのスクショ。
しかもこのローカルアカウント、Adminグループなので悪い人がこの技術使ったらPCに直接触れる人であれば、パスワードの変更なんかも容易なんですよね。
まぁそんな感じです。
レジストリファイル等のシステムファイルの収集方法
適当なLinuxをrufusでUSBメモリに焼いて、Linuxでブートしたあと
ファイルシステムを読み込み専用でマウントしてアーティファクト収集をしてみた。
これ以外にも手当たり次第、プリフェッチファイルとかAmCacheとかWindowsイベントログを収集してみた。
この技術の応用
もし、秘密の質問機能を使っているなら、パスワード忘れても安心だね!
適当にLinuxでブートして、SAM拾ってきて秘密の質問の回答を見ればパスワード変更できるよ
おわり。