タスクスケジューラで作成されたタスクの設定ファイルはC:\Windows\System32\TasksまたはC:\Windows\Tasksに保存される、という話のメモ。 ※検証にはWindows 10を使用。
タスクスケジューラで作成されたタスクの設定ファイルはC:\Windows\System32\TasksまたはC:\Windows\Tasksに保存される
Posted on
Category: Security
挿入されたUSB機器の情報をレジストリから調べる
Posted on
以前、「挿入されたUSBのシリアル番号や製品情報をレジストリから調べる」というタイトルで記事を公開していたのだが、SANSのKevin Ripa氏のブログ記事 The Truth About USB Device Serial Numbers – (and the lies your tools tell) によると、レジストリに保持される番号はメーカーが定めたUSB機器のシリアル番号と一致しないとのことだった。 なので、簡単な検証とともに改訂版の記事を書くことにした。(旧記事は現在非公開) ※検証にはWindows 11を搭載したデスクトップPCを使用。
Running arbitrary program with elevated privilege via Notepad++
Posted on
A quick memo about how to run arbitrary program with elevated privilege via Notepad++.
ufwでIPアドレスを遮断したときのメモ
Posted on
ufwでIPアドレスを遮断したときのメモ。
PyInstallerでコンパイルされたファイルを解析する際のメモ
Posted on
PyInstallerでコンパイルされたファイルを解析する際のメモ。
SRUMのメモ
Posted on
SRUMのメモ。 SRUMとはSystem Resource Usage Monitorの略で、アプリケーションやサービス等の利用状況を監視するWindowsの機能のこと。 フォレンジック調査の観点ではSRUMを調べることで、読み書きが異常に多いプロセスが無いかとか、外部と大量の通信を行っているプロセスが無いか(データ漏洩)などを確認することが出来る。 SRUMについては、すでに詳しく解説している記事がたくさんあるので、ここでは個人的に抑えておきたいポイントだけメモする。
ログオン・ログオフ・起動・シャットダウンに関するWindows イベントログのメモ
Posted on
ログオン・ログオフ・起動・シャットダウンに関するWindows イベントログのメモ。 Windows 11で検証。
Memo on Webshell process tree
Posted on
Tested to see how webshell process tree look like on linux web server.
PIEが有効化されているELFファイルをデバッグする方法のメモ
Posted on
PIEが有効化されているELFファイルをデバッグする方法のメモ。
イベントID 4624とドメインコントローラーのメモ
Posted on
ドメインユーザーがドメイン内のコンピューターにログオンした時、ログオン先のコンピューターだけでなく、ドメインコントローラーにもイベントID (EID) 4624が記録されるのか?と疑問が湧きググってみた。 (検証できればそれが一番いいのだが、手元に検証環境が無かった。)