windowsレジストリ情報
windowsレジストリ情報 98、CE、NT、2000で使用される中央階層型データベースで、1人または複数のユーザ、アプリケーションおよび ハードウェア装置を構成するのに必要なシステム情報を格納するために使用される。
レジストリにはWindowsが実行中に絶えず参照する情報などが格納されます。
- 各ユーザに関するプロファイル、
- コンピュータにインストールされているアプリケーションおよび各アプリケーションで作成可能なドキュメントの種類
- フォルダおよび アプリケーション アイコンについてのプロパティシート設定
- システム上に存在するハードウェアの種類および 使用ポートなど
レジストリはWindows3.xおよびMS-DOS構成ファイル(Autoexec.batやConfig.sysなど)で使用される テキストベースの.iniファイルのほとんどを置き換えるものです。 レジストリは複数のWindowsオペレーションシステムで共通ですが、それらの間にはいくつか 違いがあります。
レジストリハイブはレジストリ内のキー、サブキー、および値のグループでそのデータのバックアップを 含むサポートファイルのセットがあります。
HKEY_CURRENT_USER 以外のすべてのハイブに対するサポート ファイルは、Windows NT 4.0、Windows 2000、Windows XP、Windows Server 2003、および Windows Vista 上で %SystemRoot%\System32\Config フォルダーにあります。
HKEY_CLASSES_ROOT・・このキーはHKEY_LOCAL_MACHINE\Software のサブキーです。 ここには、エクスプローラーを使用してファイルを開くときに正しいプログラムを起動するための情報が格納されます。 Windows 2000 以降では、この情報は HKEY_LOCAL_MACHINE キーの下と HKEY_CURRENT_USER キーの下の両方に格納されます。
HKEY_CURRENT_USER・・現在ログオンしているユーザーの構成情報のルートが格納されています。現在ログオンしているユーザーのフォルダー、画面の色、コントロール パネルの設定などがこのキーに格納されます。
2014年にはレジストリを書き換えることで偽サイトに誘導し、マルウェアを注入される、クッキーを改変される というセキュリティ攻撃がありました。
よって、レジストリ、レジストラの定期的なチェックが重要です。レジストラやレジストリが書き換えられた場合、 その旨を電子メールで登録者に通知する仕組みを取ることができるようです。また、MicrosoftからProcess Monitorというツールが出ており、下記の機能が提供されているようです。
- レジストリアクセス監視
- ファイルアクセス監視
- ネットワークアクセス監視
- プロセス・スレッドの起動状況の監視
- プロファイリング
まとめ
こうしてみると、windowsってバージョンによって結構仕様が変わってるんだなぁって改めて勉強になりますね。 例えば、ログにしてみても、USBデバイスを差したときのデバイスドライバのログの場所はWindowsXP, WindowsVista, Windows7でみな違うそうです。