Windows – My Man file

イベントID 4624とドメインコントローラーのメモ

Posted on October 19, 2022 by Tony3

ドメインユーザーがドメイン内のコンピューターにログオンした時、ログオン先のコンピューターだけでなく、ドメインコントローラーにもイベントID (EID) 4624が記録されるのか？と疑問が湧きググってみた。（検証できればそれが一番いいのだが、手元に検証環境が無かった。）

Scheduled Tasksの親プロセスのメモ

Posted on September 19, 2022 by Tony3

WindowsのScheduled Tasksの親プロセスのメモ。

Windowsの主要なプロセスのプロセスツリーのメモ

Posted on September 6, 2022 by Tony3

Windowsの主要なプロセスのプロセスツリーのメモ。

Alternate Data Stream (ADS) のメモ

Posted on July 29, 2022 by Tony3

Alternate Data Stream (ADS) のメモ。

Windows Recent LNK ファイルのメモ

Posted on July 28, 2022July 29, 2022 by Tony3

Windows Recent LNK ファイルのメモ。

Windows の重要なプロセスのメモ

Posted on November 13, 2021January 11, 2022 by Tony3

Windows の重要なプロセスのメモ。この記事はThe Art of MEMORY FORENSICS (Wiley出版) P.154 - 155の内容を自分なりにまとめたもの。

Windows サービスによる権限昇格のメモ

Posted on November 7, 2021November 7, 2021 by Tony3

Windows サービスによる権限昇格のメモ。

WOW64のメモ

Posted on May 27, 2021November 8, 2021 by Tony3

WOW64についてのメモ。

RDPのメモ

Posted on May 3, 2021June 29, 2022 by Tony3

WindowsのRDP (Remote Desktop Services) についてのメモ。RDP関連のイベントを調査するときはshellbagの確認も忘れずに行いたい。(RDPのセッション中にユーザーがExplorerでフォルダにアクセスしたり、フォルダやファイルの一覧を閲覧している可能性が高いため)

Windowsの永続化メカニズムのメモ

Posted on April 5, 2021April 6, 2021 by Tony3

Windowsの永続化メカニズムについてのメモ。Windowsの永続化メカニズムは多岐に渡るが、個人的に押さえておきたいものをまとめた。

Older posts →