2019
04
20

Redline TIPS

フォレンジック調査ツール RedlineのTIP。何かあったら都度更新予定

ログオン関連
WindowsイベントログからIPアドレス情報を含んでいるネットワーク・ログオン関連のイベントを検索する
Windows EventLogのMessageカラムからregexを選択して以下のフィルタを入れる
Source Network Address:\s[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.

Windowsイベントログから特定のログオン・セッションのアクティビティを抽出する
Windows EventLogのMessageカラムからcontainsを選択して調べたいLogon IDの値を入れる。Logon IDとはログオン・セッションごとに割り当てられる識別子で、"0x3E2C4E73"のように16進数で表される。アカウントがいつログオンして、いつログオフしたかなどの時系列を確認するときに便利。

プロセス関連
Windowsイベントログから特定のプロセスに関連するアクティビティを検索する
Windows EventLogのMessageカラムからcontainsを選択して以下のフィルタを入れる
Image: C:\path\to\evil.exe
プロセスIDで検索したい場合は "ProcessId: [PID]"
プロセスのコマンドラインを検索したい場合は "CommandLine: " を確認

Windowsイベントログから特定の親プロセスに関連するアクティビティを検索する
Windows EventLogのMessageカラムからcontainsを選択して以下のフィルタを入れる
ParentImage: C:\path\to\evil.exe
親プロセスIDで検索したい場合は "ParentProcessId: [PID]"
親プロセスのコマンドラインを検索したい場合は "ParentCommandLine: " を確認
Comment



Only the blog author may view the comment.


Trackback
Trackback URL

«  | HOME |  »

奇妙な風景 Unique Scene
<< >>

プロフィール


最新記事


最新コメント


最新トラックバック


月別アーカイブ


カテゴリ


スポンサード リンク


FC2カウンター


検索フォーム


RSSリンクの表示


リンク


ブロとも申請フォーム


QRコード