forensic – Page 2 – My Man file

Windows Recent LNK ファイルのメモ

Posted on 2022-07-282025-04-05 by Tony3

Windows Recent LNK ファイルのメモ。

Windows サービスによる権限昇格のメモ

Posted on 2021-11-072025-04-05 by Tony3

Windows サービスによる権限昇格のメモ。

RDPのメモ

Posted on 2021-05-032025-04-05 by Tony3

WindowsのRDP (Remote Desktop Services) についてのメモ。 RDP関連のイベントを調査するときはshellbagの確認も忘れずに行いたい。(RDPのセッション中にユーザーがExplorerでフォルダにアクセスしたり、フォルダやファイルの一覧を閲覧している可能性が高いため)

Windowsの永続化メカニズムのメモ

Posted on 2021-04-052025-04-05 by Tony3

Windowsの永続化メカニズムについてのメモ。Windowsの永続化メカニズムは多岐に渡るが、個人的に押さえておきたいものをまとめた。

Windowsの正規機能を悪用した権限昇格のメモ

Posted on 2020-12-012025-04-05 by Tony3

Windowsの正規機能を悪用した権限昇格のメモ。

RunOnceキーについてのメモ

Posted on 2020-09-062025-04-05 by Tony3

RunとRunOnceのレジストリキーは、どちらもユーザーのログイン時に指定されたプログラムや処理を自動実行する。 Runキーに登録された処理は、ユーザーがログインするたびに毎回実行されるが、RunOnceキーに登録された処理は、一度実行されると、キーから処理が削除される。今回はRunOnceの挙動をテストしてみた。

IISサーバーのメモ

Posted on 2020-05-022025-10-29 by Tony3

Apacheはどこに何のファイルがあるとか、なんとなく把握しているけど、IISはそうでもないのでメモ。

COMオブジェクト・ハイジャックとは

Posted on 2020-04-112025-04-05 by Tony3

Component Object Model (COM) とは主にWindows上で動作するソフトウェア間の相互通信を可能にするための技術仕様のこと。この技術仕様に基づいて開発されたソフトウェアをCOMオブジェクトあるいはCOMコンポーネントと呼ぶ。詳しくはこちら。

攻撃者がWindowsシステムにおいて、マルウェアや悪意のあるペイロードを永続化させて定期的に実行させたい場合、以下の仕組みを利用するのが定番です。上記に加えてWMIを利用した永続化の方法もあります。個人的には、上述した永続化テクニックに比べると目にすることが少ないので、「そんな手法もある」という程度の認識だったのですが、最近このWMIを悪用した永続化のパターンを調査する機会があったので、ポイントをまとめておきます。

shellbagとは

Posted on 2019-12-122025-04-05 by Tony3

← Newer posts Older posts →

Category: forensic