4ensiX

4ensiX

FPと言ったものはFPを選んだが表示はTPになっていることに気づいた。

Windowsのバージョン情報どこじゃい

Windows registry

ある日、

A:「フォレンジッカー的には、実際はwindowsのシェアが多いから解析対象もwindowsが多いわけです。」

B:「じゃあ、windowsを理解せねばいかんのか」

A:「そうです。windowsと仲良くならなきゃいかんのです。」

B:「windowsのosってディスクイメージからだと、何見て判定するんだろ。てか、そもそもWindowsのバージョン情報てどこに書いてあるんだ

A:「volatilityかな......」

ということでwindowsのバージョン情報の場所を探した記録。

windowsのバージョン確認方法

windowsのバージョン確認方法って、そういえば知らないなと思って調べたら。二つの方法があることを知った。

  • winver.exeを動かす。
  • msinfo32.exeを動かす。

GUIだとこの2種類で見れる。じゃあこの二つがどこを見ているのか。何を参照しているのか。

調べても出てこなかった。。。。。。

何か、Ghidraさんとかで見てみると、レジストリにアクセスしているのが見える。

やっぱwindowsの重要情報といっちゃレジストリか!

でも、レジストリのどこにwindowsのバージョン情報があるのか。

「HKEY_LOCAL_MACHINE\System」とか怪しいなぁと眺めてみたけど分からん。

Windowsのバージョン情報はココだ!

Determine Windows version from offline image » SkullSecurity

つまりwindowsのバージョン情報は、

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion」のkeyにあるらしい。確認してみる。レジストリを見るために、「regedit.exe」を起動する。

f:id:Zarat:20200124163900p:plain

VMの情報なので特にモザイクかけなくても良いかな

あったあったよ。ついに、私、見つけましたわ。つまり、osプロファイルを判定できるvolatilityはここを見ているのかと思ったと共に、でもvolatilityってプロファイル何個も表示するから見ているのはここではないとも思う。

そういえばvolatilityって

volatilityの基本登録プロファイルを見ると、

 Profiles
--------
VistaSP0x64 - A Profile for Windows Vista SP0 x64
VistaSP0x86 - A Profile for Windows Vista SP0 x86
VistaSP1x64 - A Profile for Windows Vista SP1 x64
VistaSP1x86 - A Profile for Windows Vista SP1 x86
VistaSP2x64 - A Profile for Windows Vista SP2 x64
VistaSP2x86 - A Profile for Windows Vista SP2 x86
Win10x64 - A Profile for Windows 10 x64
Win10x64_10586 - A Profile for Windows 10 x64 (10.0.10586.306 / 2016-04-23)
Win10x64_14393 - A Profile for Windows 10 x64 (10.0.14393.0 / 2016-07-16)
Win10x86 - A Profile for Windows 10 x86
Win10x86_10586 - A Profile for Windows 10 x86 (10.0.10586.420 / 2016-05-28)
Win10x86_14393 - A Profile for Windows 10 x86 (10.0.14393.0 / 2016-07-16)
Win2003SP0x86 - A Profile for Windows 2003 SP0 x86
Win2003SP1x64 - A Profile for Windows 2003 SP1 x64
Win2003SP1x86 - A Profile for Windows 2003 SP1 x86
Win2003SP2x64 - A Profile for Windows 2003 SP2 x64
Win2003SP2x86 - A Profile for Windows 2003 SP2 x86
Win2008R2SP0x64 - A Profile for Windows 2008 R2 SP0 x64
Win2008R2SP1x64 - A Profile for Windows 2008 R2 SP1 x64
Win2008R2SP1x64_23418 - A Profile for Windows 2008 R2 SP1 x64 (6.1.7601.23418 / 2016-04-09)
Win2008SP1x64 - A Profile for Windows 2008 SP1 x64
Win2008SP1x86 - A Profile for Windows 2008 SP1 x86
Win2008SP2x64 - A Profile for Windows 2008 SP2 x64
Win2008SP2x86 - A Profile for Windows 2008 SP2 x86
Win2012R2x64 - A Profile for Windows Server 2012 R2 x64
Win2012R2x64_18340 - A Profile for Windows Server 2012 R2 x64 (6.3.9600.18340 / 2016-05-13)
Win2012x64 - A Profile for Windows Server 2012 x64
Win2016x64_14393 - A Profile for Windows Server 2016 x64 (10.0.14393.0 / 2016-07-16)
Win7SP0x64 - A Profile for Windows 7 SP0 x64
Win7SP0x86 - A Profile for Windows 7 SP0 x86
Win7SP1x64 - A Profile for Windows 7 SP1 x64
Win7SP1x64_23418 - A Profile for Windows 7 SP1 x64 (6.1.7601.23418 / 2016-04-09)
Win7SP1x86 - A Profile for Windows 7 SP1 x86
Win7SP1x86_23418 - A Profile for Windows 7 SP1 x86 (6.1.7601.23418 / 2016-04-09)
Win81U1x64 - A Profile for Windows 8.1 Update 1 x64
Win81U1x86 - A Profile for Windows 8.1 Update 1 x86
Win8SP0x64 - A Profile for Windows 8 x64
Win8SP0x86 - A Profile for Windows 8 x86
Win8SP1x64 - A Profile for Windows 8.1 x64
Win8SP1x64_18340 - A Profile for Windows 8.1 x64 (6.3.9600.18340 / 2016-05-13)
Win8SP1x86 - A Profile for Windows 8.1 x86
WinXPSP1x64 - A Profile for Windows XP SP1 x64
WinXPSP2x64 - A Profile for Windows XP SP2 x64
WinXPSP2x86 - A Profile for Windows XP SP2 x86
WinXPSP3x86 - A Profile for Windows XP SP3 x86

 

とまあこんな感じで、XPからある。

せっかくなので他のバージョンの感じも見てみたい。

WindowsXPのバージョンの情報

何となく、8とか7くらいならあまり変わらないのではという先入観から、windowsXPを確認する。

windowsXPx86SP3*1見てみる。

f:id:Zarat:20200124170639p:plain

XPのHKLM\SOFTWARE\Microdoft\Windows NT\Currentversion

WindowsMe

windowsME*2も見てみよ。

f:id:Zarat:20200124170938p:plain

MeのHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion

うん?あれおかしいな。

Windows98

windowsMeと2000は似たようなイメージがあるので、windows98*3はどうだろ。

f:id:Zarat:20200124171123p:plain

98のHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion

後ろが荒れているのは気にしないとして、WindowsMe以前はwindowsのバージョン情報の場所が違う?みたい。

WindowsMe以前はwindowsのバージョン情報ドコ?

困った!?と思ったが、何か押し間違いで「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion」にMeも98も見つけた。

f:id:Zarat:20200124174414p:plain

MeのHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

f:id:Zarat:20200124174252p:plain

98のHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

最後に

Windows95くらいまでは試したかったけど、他にやることがあるので止めました。

これで、少しだけWindowsと仲良くなれました○。

自分で試したい人用資料

基本的に、OSイメージはGetMyOSから持ってくる。しかし、古いものだと各々のOSを起動するために必要なドライバであったり、準備であったりは多岐に渡るのでイメージがあれば仮想マシンとしてすぐ動く!とはならない。一回適当に起動してみれば分かるハズ。vdiはアカウントがすでに作成されているけど、基本的にログインバイパス(例 ログイン画面でesc等)の脆弱性があると思うので大丈夫(大丈夫ではない)。

 

Windows Me

Windows Me VDI File for VirtualBox : Microsoft : Free Download, Borrow, and Streaming : Internet Archive

VDIでVM作ってログインバイパス。

Windows98

Windows 98. SE + Plus 98 Vmware 7z : Microsoft : Free Download, Borrow, and Streaming : Internet Archive

聖なる日にWindows98を動かすお話 - らぴーとの書き溜め

ここら辺でいけそう

Windows95

Windows 95 VDI File for VirtualBox : Microsoft : Free Download, Borrow, and Streaming : Internet Archive

今のパソコン上のVirtualBoxにWindows95を入れる - Qiita

上のやつは試したけど、editが上手く使えなかったので詰んだ。これさえ乗り越えれば簡単そう。

 

 

Windows7が終わるころに、Windows98と95とかと戦っている人がいて安心した。

*1:

Windows XP Home And Professional X86 (32-bit) Free Download Disc Image ISO Files - GetMyOS.Com

*2:

Windows Me VDI File for VirtualBox : Microsoft : Free Download, Borrow, and Streaming : Internet Archive

*3:X-MASCTF2019 Forensic問題