イベントID 4624とドメインコントローラーのメモ

ドメインユーザーがドメイン内のコンピューターにログオンした時、ログオン先のコンピューターだけでなく、ドメインコントローラーにもイベントID (EID) 4624が記録されるのか?と疑問が湧きググってみた。 (検証できればそれが一番いいのだが、手元に検証環境が無かった。)

Windows の重要なプロセスのメモ

Windows の重要なプロセスのメモ。 この記事はThe Art of MEMORY FORENSICS (Wiley出版) P.154 - 155の内容を自分なりにまとめたもの。

RDPのメモ

WindowsのRDP (Remote Desktop Services) についてのメモ。RDP関連のイベントを調査するときはshellbagの確認も忘れずに行いたい。(RDPのセッション中にユーザーがExplorerでフォルダにアクセスしたり、フォルダやファイルの一覧を閲覧している可能性が高いため)