インターネットセキュリティー・ミニツール編
「RegSrch.vbs」
001 002 003 004 005 006

001  「RegSrch.vbs」とは ▼end

Windowsでアプリケーションをインストールすると沢山の項目がレジストリに書き込まれます。

書き込まれたデータはレジストリエディターでも検索できますが、何度も「F3」キーを押して検索を繰り返さねばなりません。

また、それらのデータをテキストファイル等に保存しようとすると、非常に面倒な操作が必要で時間もかかってしまいます。

こんなときにお勧めなのが「RegSrch.vbs」というVisualBasicScriptで作成されたスクリプトファイルです。

「RegSrch.vbs」は、探したい語句を入力して「OK」を押すだけで自動的にレジストリを検索し、結果をワードパッドの画面で表示してくれます。

ただし、このスクリプトは非常に奥ゆかしいツールですので、表示された画面をハードディスクに保存しないという仕様になっています。

ワードパッドの画面を閉じるとデータも消滅しますので、必要であればテキストファイル又はレジストリファイル等に保存するようにしてください。

また、検出したデータが、そのままレジストリファイルとしても利用できる書式になっているというのも注目すべきではないかと思います。

♦注意

ウィルス対策ソフトのスクリプトブロッカーが有効な場合、警告が表示されると思いますので実行を「許可」するようにしてください。

 


002 ファイルのダウンロード ▼end

http://www.billsway.com/vbspage/

上記サイトへアクセスして、下記の行の左端のアイコンをクリックします。

ダウンロード画面が表示されますので右端の下向き矢印のアイコンをクリックして「RegSrch.zip」をダウンロードします。

「RegSrch.zip」を解凍すると、スクリプト本体、「RegSrch.vbs」様のお出ましです。


003 「RegSrch.vbs」の起動 ▼end

「RegSrch.vbs」を起動すると下記画面になります。

(要訳)
このスクリプトは、あなたが入力した文字列を対象にレジストリを検索し、レジストリにあるすべての項目を検出します。

検索にはしばらく時間がかかるのでご辛抱ください。

それでは検索する文字列(大文字と小文字の区別はしません)を入力して「OK」をクリックしてください。

入力欄に検索したい文字列を入力して「OK」をクリックしてください。(検索語句での大文字と小文字の区別はありません。)

入力画面が閉じられ、DOS画面が開かれた後、DOS画面が閉じられ何も表示されない状態になりますが、そのまま、しばらく待つと例えば次のような画面が表示されます。

要訳)

128秒で検索終了

検索文字列について、23項目が見つかりました。

「OK」をクリックすると結果がワードパッドで表示されます。

◎データが見つからない場合
(要訳)

77秒で検索終了

入力された文字列が見つかりませんでした。

◎ファイルパスの区切り文字について

上記の例のように「system32\svchost.exe」を検索して、何も見つからないのはおかしいのではとおきづきのかたが多いのではないかと思います。

VBSではファイルパスの区切り文字として「\」が入る場合「\\」に書き換える必要があります。

「system32\svchost.exe」を「system32\\svchost.exe」とすることで正しく検索されるようになります。


004 使用例 ▼end

ためしに"valueclick"で検索してみました。

*表示の都合上強制改行している部分があります。このままでは正常にレジストリに結合できませんのでご注意ください。

REGEDIT4
; RegSrch.vbs ゥ Bill James
; Registry search results for string "valueclick" 2006/02/20 17:35:54
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes 
;you make to these values.)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
P3P\History\valueclick.com]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
P3P\History\valueclick.ne.jp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
P3P\History\valueclick.net]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
ZoneMap\Domains\valueclick.com]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
ZoneMap\Domains\valueclick.jp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
ZoneMap\Domains\valueclick.ne.jp]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\
ZoneMap\Domains\valueclick.net]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\
History\valueclick.com]
[HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\
History\valueclick.com]
[HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\
History\valueclick.com]
[HKEY_USERS\S-1-5-21-1214440339-1343024091-1957994488-1004\Software\Microsoft\
Internet Explorer\TypedURLs]"url1"="www.valueclick.com"
[HKEY_USERS\S-1-5-21-1214440339-1343024091-1957994488-1004\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\P3P\History\valueclick.com]
[HKEY_USERS\S-1-5-21-1214440339-1343024091-1957994488-1004\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\P3P\History\valueclick.ne.jp]
[HKEY_USERS\S-1-5-21-1214440339-1343024091-1957994488-1004\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\P3P\History\valueclick.net]
[HKEY_USERS\S-1-5-21-1214440339-1343024091-1957994488-1004\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\valueclick.com]
[HKEY_USERS\S-1-5-21-1214440339-1343024091-1957994488-1004\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\valueclick.jp]
[HKEY_USERS\S-1-5-21-1214440339-1343024091-1957994488-1004\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\valueclick.ne.jp]
[HKEY_USERS\S-1-5-21-1214440339-1343024091-1957994488-1004\Software\Microsoft\
Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\valueclick.net]
[HKEY_USERS\S-1-5-21-1214440339-1343024091-1957994488-1004\Software\
PMDevigneSoft\CookiesManager\Supprimer]"522"="m@valueclick.jp/"
[HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\
P3P\History\valueclick.com]

◎データの書式について

データが、「REGEDIT4」で始まっていることに注意してください。

これはレジストリファイルに使われる書き出しの部分で、ファイルの拡張子を「Reg」で保存することで、そのままレジストリファイルと結合できるようになっています。

一方、拡張子を「Reg」で保存した場合、ファイルをダブルクリックするだけでレジストリファイルと結合されてしまうので取り扱いには注意が必要です。

通常は、「xxx.reg.txt」のように「.txt」を追加して保存し、ダブルクリックしたときにはテキストファイルとして処理されるようにしておくことをお勧めします。

◎コメント行

2行目以降で、行頭にセミコロン( ;)がついているのはコメント行になります。

; RegSrch.vbs ゥ Bill James
; Registry search results for string "valueclick" 2006/02/20 17:35:54
; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)

(要訳)

ファイル名:RegSrch.vbs 作者:Bill James

入力された文字列についてのレジストリの検索結果。検索日付

注意:このファイルはワードパッドの画面を閉じると消滅します。

後で、検索結果を参照したい場合は、別途ファイルに保存するようにしてください。

(拡張子を[.reg]で保存することで、記述された内容でレジストリを変更するのに利用できます。)

◎括弧(  [  と ] )

またキーの前後に括弧(  [  と ] )がついているのもレジストリファイルでの表記法ですので覚えておいてください。。

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\valueclick.com]

他にもレジストリ情報を検索、書き出してくれるソフトがありますが、検出したデータが、そのままレジストリファイルとしても利用できるところがこのツールの特徴といっていいと思います。


005 P3Pキーについて ▼end

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\P3P\History\valueclick.com

「RegSrch.vbs」を使ってみて、偶然発見したテーマになりますが、P3Pとは(Platform for Privacy Preferences Project)の略でIEのバージョン6.0で採用された機能だそうです。

このキーの値を調べてみると、名前は「既定」で、データが「5」に設定されていてCookieを受け入れないように設定されています。

設定状況についてはIEの「ツール」>「インターネットオプション」>「プライバシー」>「サイト」で「サイトごとのプライバシー操作」画面を開き「サイトごとのプライバシー操作」の一覧で確認できます。

参考情報:IE6.0のCookie受け入れ許可リストを移行させる

http://www.atmarkit.co.jp/fwin2k/win2ktips/323iecookie/iecookie.html#ope


006 ZoneMap\Domainsについて ▼end

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\valueclick.com]

「RegSrch.vbs」を使って、IEの「制限付きサイト」の登録状況を検出させた例です。

このキーのサブキーに登録され、値の名前が「*」、値のデータが「4」に設定されている場合そのドメインからのファイルのダウンロードがブロックされます。

設定状況についてはIEの「ツール」>「インターネットオプション」>「セキュリティ」>「サイト」で「制限付きサイト」画面を開き「Webサイト」の一覧で確認できます。

制限つきサイトの登録には「IE-SpyAd」や「SpyawareBlater」が便利です。

◎参考情報:

SpywareBlasterによるスパイウェア感染の予防

http://www.higaitaisaku.com/spywareblaster.html

IE-SPYAD - IEの制限付きサイトに悪質サイトを登録

http://www.higaitaisaku.com/iespyad.html

≪Prev ▲Top Next≫

end

Ads by TOK2