Windowsの文書化されていない機能：非アクティブなレジストリで動作するプログラムからレジストリの変更を隠す

アクティブな（接続された）レジストリの一部としてWindowsに表示されるが、非アクティブな（無効な）レジストリで動作するプログラムには表示されないようなレジストリキーを作成することはできますか？ （たとえば、ドライバーを使用して）カーネル変数を1つだけ変更できる場合は、方法があります。

なぜこれが必要なのですか？

（アクティブなレジストリの一部として）標準のWindowsオペレーティングシステムツールを使用してこれらのキーを正常に動作させる機能を維持しながら、非アクティブなレジストリで動作するプログラムからレジストリキーを非表示にすることで、2つの目標を達成できます：

1. フォレンジック調査からレジストリに加えられた変更を隠します（たとえば、ブートプロセス中にWindowsオペレーティングシステムによって正しく読み取られて使用されるが、ドライブの調査中に非アクティブなレジストリで動作するサードパーティプログラムには表示されない特定のサービスのキーを隠します）;
2. ブート前の整合性制御からレジストリの変更を隠します（たとえば、整合性の監視中に信頼できるブートモジュールには表示されないが、Windowsオペレーティングシステム自体には表示されるレジストリキーに変更を加えます）。

これはどうですか？

Windowsレジストリは2つの部分で構成されます：揮発性部分（ファイルに保存されていないためにブッシュが切断された後に失われるレジストリキーと値。例：「SYSTEM」ブッシュの「CurrentControlSet」キー）、不揮発性部分（レジストリハイブファイル）。



不揮発性部分をブッシュファイルに書き込むとき（たとえば、データ書き込み操作を中断する停電の場合）に保存されたデータの整合性を確保する必要があるため、Windowsカーネルはレジストリジャーナリングを使用します-記録されたデータは最初にログファイルに保存されます（このファイルは次のディレクトリにあります）メインファイルの拡張子は「.LOG」、「。LOG1」または「.LOG2」です。その後、ブッシュのメインファイルにのみ記録されます（ログファイルへの書き込みが正常に完了しない場合、メインファイルは変更されずそのまま残ります）。 メインファイルへの書き込みが正常に完了しなかった場合、障害の前に正常に書き込まれたログのデータを使用して、その整合性を復元できます。



キー（およびその値、その他の要素）を非表示にする提案された方法は、レジストリブッシュのメインファイルではなく、ログにのみ対応するデータを保存することです。 ほとんどの場合、非アクティブなレジストリで動作するサードパーティプログラムはログファイルを無視するため、メインファイルではなくログに保存されているレジストリキーはこれらのプログラムから見えなくなります。 一方、Windowsカーネルはログを使用して、ブッシュが接続されているときにブッシュの整合性を復元します。したがって、議論されたキーはカーネルと、それに応じて実行中の他のプログラムに表示されます。



メインブッシュファイルへの書き込みをブロックするには、Windows Vistaで登場したデバッグメカニズムを使用できます。 このメカニズムの本質を理解するには、Windows Vistaで導入されたログ記録スキームを検討してください。

Windows Vistaへのロギング

Windows XPおよびそれ以前のバージョンのWindowsでは、各不揮発性レジストリハイブは1つのメインファイルと1つのログファイルに対応しています。 この規則の例外は、Windows 2000およびそれ以前のバージョンのWindowsのSYSTEMハイブです。これはミラーリングされ（「system.alt」という名前のファイルに）、ログに記録されず、ブートローダーコード（指定されたハイブをメモリにロードする）を追加せずに追加されませんログからの回復をサポートします（ミラーリングとは、2つのメインファイルにデータを連続して書き込むことを指し、その結果、キー、値、およびその他の要素の論理構造は同じになります）。



ロギングは、（オフセットによるアライメントなしで）コンパクトに行われ、構造（メインファイルのセクターのビットマップ）とともにメインデータファイルに書き込まれるレコードをログファイルに保存します。これにより、ログファイルからのデータブロックをメインファイルに書き込むオフセットを決定できます。 ブッシュを接続したときに、メインファイルでデータの記録が完了していないことが確認された場合、ログファイルからブロックが読み取られ、メインファイル内のこれらのブロックのオフセットが決定され（ビットマップを使用）、これらのブロックがメインファイルに書き込まれます。したがって、誤動作のために以前中断された録音を終了します。



このようなスキームには重大な欠点があります-メインファイルへの書き込み中にI / Oエラーが発生した場合（たとえば、不良セクタへの書き込みの試行により）、コンピュータが再起動するまで、ブッシュをメインファイルと同期するさらなる操作は不可能になりますファイルシステムまたはストレージドライバーレベルでセクターを再割り当てすることにより、不良セクターが中和された場合）。 これは、ロギングが毎回古いデータからログファイルをクリアするという事実によるものです。つまり、メインファイルへの書き込みエラーはこのファイルの整合性に違反し、ブッシュを同期する新しい試みにはログからデータを消去する必要があります。メインファイルの整合性。



そのため、このようなログの削除が許可されている場合、新しいエラーにより、単一のログファイルの整合性が侵害され、メインファイルの整合性は前の障害によって侵害された状況が発生する可能性があります。

Windows Vistaからのログ記録（Windows 8.1まで）

繰り返し障害が発生する状況で、ブッシュをメインファイルと同期する問題を解決するために、二重ロギングスキームが実装されました。 このスキームでは、2つのメインログファイル（拡張子「.LOG1」および「.LOG2」）が各メインファイルに対応します。 デフォルトでは、最初のログファイル（「.LOG1」）が使用されます。



メインファイルへの書き込み中にエラーが発生した場合、ログファイルは変更されます（「.LOG1」から「.LOG2」、およびその逆）。 このアプローチにより、以前の同期試行からのデータを含む有効なログファイルが常に利用可能になります。 その結果、（メインファイルへの書き込み中にエラーが発生した後の）ログファイルへの書き込み中のエラーは、レジストリブッシュの整合性の回復不能な違反にはつながりません（ちなみに、そのような状況が引き続き発生する場合、論理の明らかなエラーを修正する自己修復メカニズムがあります）ブッシュ構造）。



ただし、このようなログスキームはデバッグする必要があるため、すべてのレジストリブッシュのメインファイル（CmpFailPrimarySave）への書き込みの繰り返しエラーをシミュレートできる変数がWindowsカーネルに導入されています。 不明な理由により、この変数は通常のカーネルバージョンにも存在します（デバッグバージョンだけでなく）。 ゼロ以外の変数がこの変数に書き込まれる場合、メインファイルにデータを書き込む機能は、そのような記録のさまざまな段階でエラーをシミュレートします。



レジストリハイブを接続するプロセスでは、カーネルは2つのログファイルのどちらを回復に使用するかを選択する必要があることに注意してください。どちらのログファイルに整合性が保持されているか、記録されたデータの新しいバージョンが含まれているログファイルなどを決定する比較的複雑なアルゴリズムが実装されていることに注意してくださいe。Windows 8より前では、このアルゴリズムには重大なエラーが含まれていたため、ほとんどすべての場合、特定の詳細に関係なく、最初のログファイル（「.LOG1」）が選択されました。 特に、Windows 7の場合、アルゴリズムの対応する修正プログラムは2016年3月にのみリリースされました（したがって、Windows 7でのダブルログは常にWindows XPよりも完全な保護を提供しませんでした）。 上記のエラーを克服するには、ブッシュのメインファイルのエントリをブロックするだけでなく、障害が発生した場合に2番目のログファイル（「.LOG2」）への移行もブロックする必要があります（最初のログファイルには常に最新のデータが含まれます。それ以外の場合は、次回の起動時に、システムレジストリブッシュを、コンピューターの通常のシャットダウンが完了したときよりも予想外に早い状態に復元できます。 幸いなことに、説明した変数の次の値により、ログファイルを変更せずに目的の効果を達成できます。



同じ変数は、Windowsの新しいバージョン（8.1および10）でも機能します。このバージョンでは、異なるログ方法が使用されます（この記事の範囲外）。

実験

実験として、Windows 7オペレーティングシステム（Service Pack 1）で非表示のキーとその値を作成します。 これを行うには、実行中のオペレーティングシステムで、CmpFailPrimarySaveカーネル変数の値を（メモリを編集して）0から3に変更し、文字列「123456」を含む「invisible_value」という名前の値を持つレジストリキー「HKEY_LOCAL_MACHINE \ SYSTEM \ invisible_key」を作成します。 次に、通常の方法でオペレーティングシステムの電源を切り、SYSTEMレジストリハイブファイルをエクスポートします。



オペレーティングシステムを再度オンにした後、レジストリエディターを実行し、目的のキーと値が表示されていることを確認します（図1）。





図 1：Windowsレジストリエディター



同時に、サードパーティのプログラム（たとえば、Windows Registry RecoveryやRegistry Explorer）は、エクスポートされたレジストリファイルに目的のキーと値を表示しません（図2および3）。





図 2：Windowsレジストリの回復





図 3：レジストリエクスプローラー

おわりに

情報セキュリティインシデントの調査中および整合性制御中に、非アクティブなレジストリで動作するプログラムに過度に依存しないでください。 この記事では、レジストリキー、その値、その他の要素を同様のプログラムから隠す多くの方法の1つを示しました。