Category: forensic

タスクスケジューラで作成されたタスクの設定ファイルはC:\Windows\System32\TasksまたはC:\Windows\Tasksに保存される、という話のメモ。 ※検証にはWindows 10を使用。

以前、「挿入されたUSBのシリアル番号や製品情報をレジストリから調べる」というタイトルで記事を公開していたのだが、SANSのKevin Ripa氏のブログ記事 The Truth About USB Device Serial Numbers – (and the lies your tools tell) によると、レジストリに保持される番号はメーカーが定めたUSB機器のシリアル番号と一致しないとのことだった。 なので、簡単な検証とともに改訂版の記事を書くことにした。(旧記事は現在非公開) ※検証にはWindows 11を搭載したデスクトップPCを使用。

SRUMのメモ。 SRUMとはSystem Resource Usage Monitorの略で、アプリケーションやサービス等の利用状況を監視するWindowsの機能のこと。 フォレンジック調査の観点ではSRUMを調べることで、読み書きが異常に多いプロセスが無いかとか、外部と大量の通信を行っているプロセスが無いか（データ漏洩）などを確認することが出来る。 SRUMについては、すでに詳しく解説している記事がたくさんあるので、ここでは個人的に抑えておきたいポイントだけメモする。

ログオン・ログオフ・起動・シャットダウンに関するWindows イベントログのメモ。 Windows 11で検証。

ドメインユーザーがドメイン内のコンピューターにログオンした時、ログオン先のコンピューターだけでなく、ドメインコントローラーにもイベントID (EID) 4624が記録されるのか？と疑問が湧きググってみた。 （検証できればそれが一番いいのだが、手元に検証環境が無かった。）

Windows Recent LNK ファイル のメモ。

WindowsのRDP (Remote Desktop Services) についてのメモ。 RDP関連のイベントを調査するときはshellbagの確認も忘れずに行いたい。(RDPのセッション中にユーザーがExplorerでフォルダにアクセスしたり、フォルダやファイルの一覧を閲覧している可能性が高いため)

Windowsの永続化メカニズムについてのメモ。Windowsの永続化メカニズムは多岐に渡るが、個人的に押さえておきたいものをまとめた。