2019
04
20

Redline TIPS

フォレンジック調査ツール RedlineのTIP。何かあったら都度更新予定

WindowsイベントログからIPアドレス情報を含んでいるネットワーク・ログオン関連のイベントを検索する
Windows EventLogのMessageカラムからregexを選択して以下のフィルタを入れる
Source Network Address:\s[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.

Windowsイベントログから特定のプロセスに関連するアクティビティを検索する
Windows EventLogのMessageカラムからcontainsを選択して以下のフィルタを入れる
Image: C:\path\to\evil.exe
プロセスIDで検索したい場合は "ProcessId: [PID]"
プロセスのコマンドラインを検索したい場合は "CommandLine: " を確認

Windowsイベントログから特定の親プロセスに関連するアクティビティを検索する
Windows EventLogのMessageカラムからcontainsを選択して以下のフィルタを入れる
ParentImage: C:\path\to\evil.exe
親プロセスIDで検索したい場合は "ParentProcessId: [PID]"
親プロセスのコマンドラインを検索したい場合は "ParentCommandLine: " を確認
Comment



Only the blog author may view the comment.


Trackback
Trackback URL

«  | HOME |  »

奇妙な風景 Unique Scene
<< >>

プロフィール


最新記事


最新コメント


最新トラックバック


月別アーカイブ


カテゴリ


スポンサード リンク


FC2カウンター


検索フォーム


RSSリンクの表示


リンク


ブロとも申請フォーム


QRコード