Security Lab

サイバーセキュリティに関する調査・研究の記録とナレッジ

Eventlog の消去方法

【ノウハウ】

■Eventlog の一括削除方法

  • Event ViewerでGUIを使用して消去([操作] → [ログ消去])
  • wevtutil コマンドで消去
  • 専用ツールで消去(RirekiDel.exe, CCleaner 等)
  • Windows API を使用して消去(要ブログラミング)

■Eventlog の一部消去方法

  • DanderSpritz(eventlogedit)を使用

■一部が消去されたEventlogの解析ツール

  • danderspritz_evtx.py


【参考資料】

◆Detection and recovery of NSA’s covered up tracks (Fox-it, 2017/12/08)
https://blog.fox-it.com/tag/eventlogedit/

◆EventLogとEVTX1 (@port139 Blog, 2017/12/23)
http://port139.hatenablog.com/entry/2017/12/23/154853


【ツール】

◆adamcaudill/EquationGroupLeak
https://github.com/adamcaudill/EquationGroupLeak/tree/master/windows/Resources/Dsz/PyScripts/Lib/dsz/mca/security/cmd/eventlogedit

◆EquationGroupLeak/windows/Resources/Ops/PyScripts/lib/ops/cmd/eventlogedit.py
https://github.com/adamcaudill/EquationGroupLeak/blob/master/windows/Resources/Ops/PyScripts/lib/ops/cmd/eventlogedit.py

数式エディター 3.0 を無効にする方法

【概要】

Office のバージョン レジストリ サブキー
Office 2007 以降 次のレジストリ サブキーの DWORD 値を変更します。
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400
次の エントリを削除します。
[HKEY_CLASSES_ROOT\CLSID\{0002CE02-0000-0000-C000-000000000046}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Equation.3]
Office 2007 以降、x64 Windows 上の x86 Office 次のレジストリ サブキーの DWORD 値を変更します。
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400
次のエントリを削除します。
[HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{0002CE02-0000-0000-C000-000000000046}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Equation.3]

(以上は Microsoftの情報。 引用元はhttps://support.microsoft.com/ja-jp/help/4055535/how-to-disable-equation-editor-3-0 )


【公開情報】

◆数式エディター 3.0 を無効にする方法 (Microsoft)
https://support.microsoft.com/ja-jp/help/4055535/how-to-disable-equation-editor-3-0

USN JOURNALの操作方法

【ノウハウ】

 USN ジャーナルの操作方法を紹介します。

■ジャーナルの状態確認

C:\> fsutil usn queryjournal c:


■ジャーナルの削除

C:\> fsutil usn deletejournal /D C:


【構文】

fsutil usn [createjournal] m = <MaxSize> a = <AllocationDelta><VolumePath>
fsutil usn [deletejournal] {/D |/N} <VolumePath>
fsutil usn [enumdata] <FileRef><LowUSN><HighUSN><VolumePath>
fsutil usn [queryjournal] <VolumePath>
fsutil usn [readdata] <FileName>


【パラメータ】

パラメーター 説明
createjournal USN 変更ジャーナルを作成します。
m=<MaxSize> NTFS が変更ジャーナルに割り当てるバイトの最大サイズを指定します。
a = <AllocationDelta> バイトを末尾に追加し、変更ジャーナルの先頭から削除されるメモリ割り当てサイズを指定します。
<VolumePath> ドライブ文字 (コロンが後に続く) を指定します。
deletejournal 削除またはアクティブな USN 変更ジャーナルを無効にします。*1
/d アクティブな USN 変更ジャーナルを無効にし、変更ジャーナルが無効になっているときに、入出力 (I/O) のコントロールを返します。
/n アクティブな USN 変更ジャーナルを無効に、だけ変更ジャーナルを無効にした後は、I/O 制御を戻します。
enumdata 列挙し、指定した 2 つの境界の間の変更の履歴を一覧表示します。
<FileRef> 列挙を開始すること、ボリューム上のファイル内の位置を表す序数を指定します。
<LowUSN> 返されるレコードをフィルター処理するために使用、USN 値の範囲の下限を指定します。 最終変更ジャーナルの USN 間、 LowUSNとHighUSNメンバーの値に等しいかだけのレコードが返されます。
<HighUSN> 返すファイルをフィルタ リングするために使用、USN 値の範囲の上限を指定します。
queryjournal 現在の変更ジャーナル、レコード、および容量に関する情報を収集するのには、ボリュームの USN データを照会します。
readdata ファイルの USN データを読み取ります。
<FileName> たとえば、ファイル名と拡張子を含むファイルへの完全なパスを指定します C:\documents\filename.txt。

出典: https://technet.microsoft.com/ja-jp/library/cc788042(v=ws.10).aspx


【参考資料】

Windows コマンドプロンプト リファレンス FSUTIL (Maakun, 2008/09/10)
http://www.geocities.jp/maakun_gemini_ab/contents/pc/cmd_reference_fsutil.html

◆USN_RECORD_V2 structure (Microsoft)
https://msdn.microsoft.com/en-us/library/aa365722(VS.85).aspx

◆USN Journal
https://en.wikipedia.org/wiki/USN_Journal

*1:ボリュームの完全 (かつ時間のかかる) のスキャンを実行するには、これらのサービスをする必要がありますので、変更ジャーナルを削除、ファイル レプリケーション サービス (FRS) とインデックス サービスが影響します。 これによって、FRS SYSVOL レプリケーションと、ボリュームをスキャンしている DFS リンク代替間のレプリケーションが悪影響を受けます。

BIOS バージョン情報の取得方法

【ナレッジ】

■コマンドでの取得方法

  • wmic bios get smbiosbiosversionを使用

> wmic bios get smbiosbiosversion
SMBIOSBIOSVersion
4.6.5

  • wmic bios get biosversionを使用

> wmic bios get biosversion
BIOSVersion
{"MOUSEC - 1072009", "4.6.5", "American Megatrends - 4028E"}

> wmic bios get /value


BiosCharacteristics={7,11,12,15,16,19,26,27,29,32,33,40,42,43}
BIOSVersion={"MOUSEC - 1072009","4.6.5","American Megatrends - 4028E"}
BuildNumber=
Caption=4.6.5
CodeSet=
CurrentLanguage=en|US|iso8859-1
Description=4.6.5
EmbeddedControllerMajorVersion=255
EmbeddedControllerMinorVersion=255
IdentificationCode=
InstallableLanguages=1
InstallDate=
LanguageEdition=
ListOfLanguages={"en|US|iso8859-1"}
Manufacturer=American Megatrends Inc.
Name=4.6.5
OtherTargetOS=
PrimaryBIOS=TRUE
ReleaseDate=20140408000000.000000+000
SerialNumber=Not Applicable
SMBIOSBIOSVersion=4.6.5
SMBIOSMajorVersion=2
SMBIOSMinorVersion=7
SMBIOSPresent=TRUE
SoftwareElementID=4.6.5
SoftwareElementState=3
Status=OK
SystemBiosMajorVersion=4
SystemBiosMinorVersion=6
TargetOperatingSystem=0
Version=MOUSEC - 1072009


■その他の情報の取得方法

  • wmic csproduct get /value を使用

> wmic csproduct get /value


Caption=コンピューター システム製品
Description=コンピューター システム製品
IdentifyingNumber=Not Applicable
Name=(省略)
SKUNumber=
UUID=(省略)
Vendor=MouseComputer/81Pro
Version=Not Applicable


■ツールでの取得方法

  • msinfo32

> msinfo32

  • siw を使用

◆System Information for Windows (SIW)
http://www.chip.de/downloads/System-Information-for-Windows-SIW-2013-Letzte-Freeware_18363439.html

Windows7のMACアドレスを本当に変更する方法

【概要】

Windows7はガードがされているようで、2バイト目の数字が「2」「6」「A」「E」の場合、つまり

X2-XX-XX-XX-XX-XX
X6-XX-XX-XX-XX-XX
XA-XX-XX-XX-XX-XX
XE-XX-XX-XX-XX-XX
の場合のみ書き換え可能なようです。


【ニュース】

Windows7MACアドレスを本当に変更する方法 (Gigazine, 2012/04/18)
http://gizazine.net/?p=4530