hive-file
レジストリハイブファイルから、ユーザーアカウントやグループ、セキュリティポリシー、OS情報、USBデバイス、プログラム利用履歴などの情報を照会します。
コマンドプロパティ
| 項目 | 説明 |
|---|---|
| コマンドタイプ | ドライバークエリ |
| 必要な権限 | なし |
| ライセンス使用量 | 集計あり |
| 並列実行 | 非対応 |
| 分散実行 | データノードで実行(mapper) |
構文
hive-file [zipcharset=CHARSET] [zippath=ZIPFILE_PATH] FILE_PATH
オプション
zipcharset=CHARSET- ZIPエントリのエンコーディング形式(デフォルト:
utf-8)。https://www.iana.org/assignments/character-sets/character-sets.xhtmlに登録されているPreferred MIME NameまたはAliasesを使用してください。 zippath=ZIPFILE_PATH- ZIPファイルのパス。
対象
FILE_PATH- レジストリファイルのパス。ファイルパスにワイルドカード(
*)を使用すると(例:D:\data\registry\*)、パターンに一致するすべてのファイルを一括で照会できます。zippathオプションと併用する場合は、ZIPファイル内に含まれるレジストリハイブファイルのパスを指定してください。
出力フィールド
ハイブファイルと出力フィールドの内容については、以下の表を参照してください。
ハイブファイル
| ファイル | 用途 | レジストリパス | 抽出情報 |
|---|---|---|---|
| SAM | アカウント・接続履歴 | HKEY_LOCAL_MACHINE\SAM | ユーザーアカウント、グループ |
| SECURITY | セキュリティポリシー・権限 | HKEY_LOCAL_MACHINE\Security | セキュリティポリシー |
| SOFTWARE | インストールプログラム | HKEY_LOCAL_MACHINE\Software | OSバージョン、OSインストール日、OSインストールディレクトリ、所有者アカウント |
| SYSTEM | システム設定 | HKEY_LOCAL_MACHINE\System | ホスト名、タイムゾーン、システムシャットダウン時刻、USBデバイスなど |
| NTUSER.DAT | ユーザー設定 | HKEY_USERS.DEFAULT | 最近開いたファイル一覧 |
出力フィールド
| フィールド | タイプ | 説明 |
|---|---|---|
key | 文字列 | サブキー |
type | 文字列 | タイプ |
name | 文字列 | レジストリ名 |
value | オブジェクト | レジストリデータ |
last_written | 日付 | 最終更新日時 |
エラーコード
パースエラー
該当なし
ランタイムエラー
該当なし
説明
hive-fileコマンドは、Windowsレジストリハイブファイルをパースして、レジストリキー、値名、データ、最終更新日時を出力フィールドとして提供します。SAM、SECURITY、SOFTWARE、SYSTEM、NTUSER.DATなどの各ハイブファイルから、アカウント情報、セキュリティポリシー、OSの設定、最近使用したファイルなどを抽出できます。
使用例
-
ファイルパスを指定して照会する
hive-file D:\data\registry\SYSTEM -
zippathオプションを指定して照会する
hive-file zippath=D:\data\registry.zip registry\SYSTEM -
Windows OS情報を確認する
hive-file D:\data\registry\SOFTWARE | search key=="ROOT\\Microsoft\\Windows NT\\CurrentVersion"