RDPのメモ

WindowsのRDP (Remote Desktop Services) についてのメモ。RDP関連のイベントを調査するときはshellbagの確認も忘れずに行いたい。(RDPのセッション中にユーザーがExplorerでフォルダにアクセスしたり、フォルダやファイルの一覧を閲覧している可能性が高いため)

DLL Search Order Hijacking vs DLL Side-Loading

DLL Search Order HijackingとDLL Side-Loadingの違いについてのメモ。 どちらも正規の実行ファイルに悪意のあるDLLを読み込ませるという点は共通しているが、そこに至るまでの原理は厳密には異なる。 両者の違いについて自分なりに調べてまとめてみた。 ※ただし、近年では単純にEXEファイルが同一ディレクトリに存在する悪意のあるDLLをロードしていた場合、DLL Side-Loadingと呼称するケースが増えているようである。

WinRMとWMIのメモ

WinRMとWMIについて。どちらも「W」から始まる、遠隔からWindowsシステムを管理・変更することができる、などの共通点があり個人的に混同しやすいのでメモ。

RunOnceキーについてのメモ

RunとRunOnceのレジストリキーは、どちらもユーザーのログイン時に指定されたプログラムや処理を自動実行する。 Runキーに登録された処理は、ユーザーがログインするたびに毎回実行されるが、RunOnceキーに登録された処理は、一度実行されると、キーから処理が削除される。 今回はRunOnceの挙動をテストしてみた。