LogParser のつづき
今日一日あまりに暇なので HELP とかを見ていた次第。
LastWriteTime で、レジストリの最終更新日時(UTC)が取得できることを発見(って、そんな大げさなことではないが)
これってひょっとして、 \HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run の値が追加・更新された時間とか取れるのかなと思い実験。
RunKeyCheck.sql
SELECT ComputerName, KeyName, ValueName, ValueType, Value, LastWriteTime INTO RegistryRunKeyCheck.html FROM \HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run WHERE KeyName LIKE 'Run' ORDER BY LastWriteTime DESC
なんてのを書いてみました。
LastWriteTime で取得出来る日時は、キーの更新日時であって値ごとではないようです。
これがもし値ごとに更新日時が取れれば、ウィルスやSpywareなどによって知らないうちに追加されたレジストリ値を検知できるのかなと期待したのですが残念。
スクリプトサンプルをおいておきます。→さんぷる