【目次】
記事
【書籍】
◆Windows Sysinternals 徹底解説 (日経BP, 2017/06/05)
https://shop.nikkeibp.co.jp/front/commodity/0000/P98960/
【ニュース】
◆Sysinternalsのautorunsツールで自動起動するプログラムを調査する (@IT, 2012/08/31 05:00)
https://www.atmarkit.co.jp/ait/articles/1208/31/news140.html
⇒ https://malware-log.hatenablog.com/entry/2012/08/31/000000_1
◆「Autoruns」の膨大な情報から本当に怪しいヤツをあぶりだすテク (@IT, 2014/07/28 18:00)
https://www.atmarkit.co.jp/ait/articles/1407/28/news021.html
⇒ https://malware-log.hatenablog.com/entry/2014/07/28/000000_1
【公開情報】
◆Autoruns for Windows (Microsoft, 2017/04/05)
https://docs.microsoft.com/ja-jp/previous-versions/bb963902(v=msdn.10)?redirectedfrom=MSDN
◆Autoruns for Windows v13.98 (Microsoft, 2020/06/24)
https://docs.microsoft.com/en-us/sysinternals/downloads/autoruns
【ツール】
◆Download Autoruns and Autorunsc (Microsoft, 2020/06/24)
https://download.sysinternals.com/files/Autoruns.zip
【関連まとめ記事】
◆フォレンジック解析ツール (まとめ)
https://malware-log.hatenablog.com/entry/Forensic_Tools
解析対象
【ASEP】
■LOGON
◇All User
%ALLUSERPROFILE%\Microsoft\Windows\Start Menu\Program\Startup
◇User
%APPDATA%\Microsoft\Windows\Start Menu\Program\Startup
◇HKCU\Software
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows NT\CurrentVersion\TernimalServer\Install\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\TernimalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows NT\CurrentVersion\TernimalServer\Install\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Shell
◇HKCU\Software (x64)
HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce
■OFFICE
◇HKLMおよびHKCU内で検査されたレジストリキー
\Software\Microsoft\Office\Access\Addins
\Software\Microsoft\Office\Excel\Addins
\Software\Microsoft\Office\Outlook\Addins
\Software\Microsoft\Office\PowerPoint\Addins
\Software\Microsoft\Office\Word\Addins
◇HKLMおよびHKCU内で検査されたレジストリキー (x86)
\Software\Wow6432Node\Microsoft\Office\Access\Addins
\Software\Wow6432Node\Microsoft\Office\Excel\Addins
\Software\Wow6432Node\Microsoft\Office\Outlook\Addins
\Software\Wow6432Node\Microsoft\Office\PowerPoint\Addins
\Software\Wow6432Node\Microsoft\Office\Word\Addins
