わたしは前回、「Windowsレジストリを利用したフォレンジクス――ハッカーの行動を調べる」という記事で、マシンにログオン中のユーザーの最近の操作を調査担当者が特定するのに役立つレジストリ内の幾つかの重要な項目について解説した。その中で特に注目したのが「HKCU」(Hive Key Current User)というレジストリ部分だった。今回は、レジストリの「HKLM」(Hive Key Local Machine)セクションで指定できる各種のシステムワイドな設定について解説する。これらの設定は、フォレンジクス調査担当者にも非常に役立つものだ。 Microsoft Windowsの幾つかのバージョン(XP Professional、Vista、Server 2003、Server 2008)には、「reg.exe」コマンドが含まれている。これを利用すれば、レジストリ内の情報の確認や更新が行え