reg-bam-entries
SYSTEM レジストリハイブファイルから、プログラムの最終実行時刻を記録した BAM (Background Activity Moderator) エントリを照会します。BAM は Windows 10 バージョン 1709 以降でバックグラウンドプログラムの実行履歴を追跡するサービスです。
コマンドプロパティ
| 項目 | 説明 |
|---|---|
| コマンドタイプ | ドライバークエリ |
| 必要な権限 | なし |
| ライセンス使用量 | ライセンスが必要なコマンド |
| 並列実行 | 非対応 |
| 分散実行 | 非対応 |
構文
reg-bam-entries [zippath=STR] [zipcharset=STR] PATH
オプション
zippath=STR- レジストリハイブファイルが含まれる ZIP ファイルのパス。指定すると ZIP ファイル内の
PATHに該当するファイルを読み込みます。 zipcharset=STR- ZIP ファイルエントリのエンコーディング(デフォルト:
utf-8)
ターゲット
PATH- SYSTEM レジストリハイブファイルのパス。ワイルドカード(
*)を使用して複数のファイルを指定できます。
出力フィールド
| フィールド | タイプ | 説明 |
|---|---|---|
| _file | 文字列 | 元のファイル名 |
| sid | 文字列 | プログラムを実行したユーザーの SID |
| file_name | 文字列 | 実行されたプログラムのファイル名 |
| file_path | 文字列 | 実行されたプログラムのフルパス |
| last_execution | 日付 | プログラムの最終実行時刻 |
エラーコード
パースエラー
該当なし
ランタイムエラー
該当なし
説明
reg-bam-entries コマンドは、Windows SYSTEM レジストリハイブファイルの ControlSet001\Services\bam\UserSettings キー配下にある BAM エントリを解析します。BAM は Windows 10 でバックグラウンドアクティビティを管理するサービスで、各ユーザーが実行したプログラムの最終実行時刻を記録します。
フォレンジック分析では、SYSTEM ハイブファイルは通常 C:\Windows\System32\config\SYSTEM に存在します。
使用例
-
SYSTEM ハイブファイルから BAM エントリを照会
reg-bam-entries /opt/logpresso/evidence/SYSTEM指定した SYSTEM ハイブファイルからすべての BAM エントリを照会します。
-
ZIP ファイル内の SYSTEM ハイブから BAM エントリを照会
reg-bam-entries zippath=/opt/logpresso/evidence/registry.zip SYSTEMZIP ファイルに含まれる SYSTEM ハイブファイルから BAM エントリを照会します。
-
BAM エントリから特定ユーザーの実行履歴をフィルタリング
reg-bam-entries /opt/logpresso/evidence/SYSTEM | search sid == "S-1-5-21-*" | sort -last_executionBAM エントリを照会した後、特定の SID パターンに一致するユーザーのプログラム実行履歴を最新順にソートします。