Security Lab

サイバーセキュリティに関する調査・研究の記録とナレッジ

Eventlog の消去方法

【ノウハウ】

■Eventlog の一括削除方法

  • Event ViewerでGUIを使用して消去([操作] → [ログ消去])
  • wevtutil コマンドで消去
  • 専用ツールで消去(RirekiDel.exe, CCleaner 等)
  • Windows API を使用して消去(要ブログラミング)

■Eventlog の一部消去方法

  • DanderSpritz(eventlogedit)を使用

■一部が消去されたEventlogの解析ツール

  • danderspritz_evtx.py


【参考資料】

◆Detection and recovery of NSA’s covered up tracks (Fox-it, 2017/12/08)
https://blog.fox-it.com/tag/eventlogedit/

◆EventLogとEVTX1 (@port139 Blog, 2017/12/23)
http://port139.hatenablog.com/entry/2017/12/23/154853


【ツール】

◆adamcaudill/EquationGroupLeak
https://github.com/adamcaudill/EquationGroupLeak/tree/master/windows/Resources/Dsz/PyScripts/Lib/dsz/mca/security/cmd/eventlogedit

◆EquationGroupLeak/windows/Resources/Ops/PyScripts/lib/ops/cmd/eventlogedit.py
https://github.com/adamcaudill/EquationGroupLeak/blob/master/windows/Resources/Ops/PyScripts/lib/ops/cmd/eventlogedit.py