挿入されたUSB機器の情報をレジストリから調べる

以前、「挿入されたUSBのシリアル番号や製品情報をレジストリから調べる」というタイトルで記事を公開していたのだが、SANSのKevin Ripa氏のブログ記事 The Truth About USB Device Serial Numbers – (and the lies your tools tell) によると、レジストリに保持される番号はメーカーが定めたUSB機器のシリアル番号と一致しないとのことだった。 なので、簡単な検証とともに改訂版の記事を書くことにした。(旧記事は現在非公開) ※検証にはWindows 11を搭載したデスクトップPCを使用。

SRUMのメモ

SRUMのメモ。 SRUMとはSystem Resource Usage Monitorの略で、アプリケーションやサービス等の利用状況を監視するWindowsの機能のこと。 フォレンジック調査の観点ではSRUMを調べることで、読み書きが異常に多いプロセスが無いかとか、外部と大量の通信を行っているプロセスが無いか(データ漏洩)などを確認することが出来る。 SRUMについては、すでに詳しく解説している記事がたくさんあるので、ここでは個人的に抑えておきたいポイントだけメモする。

Windows 10 および Windows 11で一発で日本語入力できない

プライベートで使うメインPCをWindowsに切り替えたのだが、日本語入力の切り替えがスムーズに出来ないという困った問題が起きてしまった。 プライベートのPCはWindows 11だが、仕事で使っているWindows 10のラップトップでも同様の問題が起きていた。ちなみに自分は普段、英字キーボードを使用しており、OS の言語設定も英語にしている。 日本語入力に切り替えたいときは、Shift + Altキーで日本語入力モードに切り替えられるのだが、何故かほぼ毎回、半角英数字がデフォルトで選択されてしまい、日本語入力ができない。日本語入力するためには、タスクバーからIMEのアイコンをクリックして、半角英数字から、ひらがな入力に切り替えないといけない。これが地味に手間だった。 何とかならないかと思い、こちらで紹介されている解決方法を試してみたが駄目だった。 で、いろいろ設定をいじっているうちに暫定的な解決策を見つけたので、メモを残しておく。

イベントID 4624とドメインコントローラーのメモ

ドメインユーザーがドメイン内のコンピューターにログオンした時、ログオン先のコンピューターだけでなく、ドメインコントローラーにもイベントID (EID) 4624が記録されるのか?と疑問が湧きググってみた。 (検証できればそれが一番いいのだが、手元に検証環境が無かった。)

Windows の重要なプロセスのメモ

Windows の重要なプロセスのメモ。 この記事はThe Art of MEMORY FORENSICS (Wiley出版) P.154 - 155の内容を自分なりにまとめたもの。