【公開情報】
◆Detection and recovery of NSA’s covered up tracks (Fox-it, 2017/12/08)
https://blog.fox-it.com/tag/eventlogedit/
【公開情報】
◆Detection and recovery of NSA’s covered up tracks (Fox-it, 2017/12/08)
https://blog.fox-it.com/tag/eventlogedit/
【概要】
Office のバージョン | レジストリ サブキー |
---|---|
Office 2007 以降 | 次のレジストリ サブキーの DWORD 値を変更します。 |
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}] | |
"Compatibility Flags"=dword:00000400 | |
次の エントリを削除します。 | |
[HKEY_CLASSES_ROOT\CLSID\{0002CE02-0000-0000-C000-000000000046}] | |
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Equation.3] | |
Office 2007 以降、x64 Windows 上の x86 Office | 次のレジストリ サブキーの DWORD 値を変更します。 |
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}] | |
"Compatibility Flags"=dword:00000400 | |
次のエントリを削除します。 | |
[HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{0002CE02-0000-0000-C000-000000000046}] | |
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Equation.3] |
(以上は Microsoftの情報。 引用元はhttps://support.microsoft.com/ja-jp/help/4055535/how-to-disable-equation-editor-3-0 )
【公開情報】
◆数式エディター 3.0 を無効にする方法 (Microsoft)
https://support.microsoft.com/ja-jp/help/4055535/how-to-disable-equation-editor-3-0
【ノウハウ】
USN ジャーナルの操作方法を紹介します。
■ジャーナルの状態確認
C:\> fsutil usn queryjournal c:
■ジャーナルの削除
C:\> fsutil usn deletejournal /D C:
【構文】
fsutil usn [createjournal] m = <MaxSize> a = <AllocationDelta><VolumePath>
fsutil usn [deletejournal] {/D |/N} <VolumePath>
fsutil usn [enumdata] <FileRef><LowUSN><HighUSN><VolumePath>
fsutil usn [queryjournal] <VolumePath>
fsutil usn [readdata] <FileName>
【パラメータ】
パラメーター | 説明 |
---|---|
createjournal | USN 変更ジャーナルを作成します。 |
m=<MaxSize> | NTFS が変更ジャーナルに割り当てるバイトの最大サイズを指定します。 |
a = <AllocationDelta> | バイトを末尾に追加し、変更ジャーナルの先頭から削除されるメモリ割り当てサイズを指定します。 |
<VolumePath> | ドライブ文字 (コロンが後に続く) を指定します。 |
deletejournal | 削除またはアクティブな USN 変更ジャーナルを無効にします。*1 |
/d | アクティブな USN 変更ジャーナルを無効にし、変更ジャーナルが無効になっているときに、入出力 (I/O) のコントロールを返します。 |
/n | アクティブな USN 変更ジャーナルを無効に、だけ変更ジャーナルを無効にした後は、I/O 制御を戻します。 |
enumdata | 列挙し、指定した 2 つの境界の間の変更の履歴を一覧表示します。 |
<FileRef> | 列挙を開始すること、ボリューム上のファイル内の位置を表す序数を指定します。 |
<LowUSN> | 返されるレコードをフィルター処理するために使用、USN 値の範囲の下限を指定します。 最終変更ジャーナルの USN 間、 LowUSNとHighUSNメンバーの値に等しいかだけのレコードが返されます。 |
<HighUSN> | 返すファイルをフィルタ リングするために使用、USN 値の範囲の上限を指定します。 |
queryjournal | 現在の変更ジャーナル、レコード、および容量に関する情報を収集するのには、ボリュームの USN データを照会します。 |
readdata | ファイルの USN データを読み取ります。 |
<FileName> | たとえば、ファイル名と拡張子を含むファイルへの完全なパスを指定します C:\documents\filename.txt。 |
出典: https://technet.microsoft.com/ja-jp/library/cc788042(v=ws.10).aspx
【参考資料】
◆Windows コマンドプロンプト リファレンス FSUTIL (Maakun, 2008/09/10)
http://www.geocities.jp/maakun_gemini_ab/contents/pc/cmd_reference_fsutil.html
◆USN_RECORD_V2 structure (Microsoft)
https://msdn.microsoft.com/en-us/library/aa365722(VS.85).aspx
◆USN Journal
https://en.wikipedia.org/wiki/USN_Journal
【公開情報】
◆PlugX Tracker
http://ptrack.h3x.eu/corpus/297
【ナレッジ】
■コマンドでの取得方法
> wmic bios get smbiosbiosversion
SMBIOSBIOSVersion
4.6.5
> wmic bios get biosversion
BIOSVersion
{"MOUSEC - 1072009", "4.6.5", "American Megatrends - 4028E"}
BiosCharacteristics={7,11,12,15,16,19,26,27,29,32,33,40,42,43}
BIOSVersion={"MOUSEC - 1072009","4.6.5","American Megatrends - 4028E"}
BuildNumber=
Caption=4.6.5
CodeSet=
CurrentLanguage=en|US|iso8859-1
Description=4.6.5
EmbeddedControllerMajorVersion=255
EmbeddedControllerMinorVersion=255
IdentificationCode=
InstallableLanguages=1
InstallDate=
LanguageEdition=
ListOfLanguages={"en|US|iso8859-1"}
Manufacturer=American Megatrends Inc.
Name=4.6.5
OtherTargetOS=
PrimaryBIOS=TRUE
ReleaseDate=20140408000000.000000+000
SerialNumber=Not Applicable
SMBIOSBIOSVersion=4.6.5
SMBIOSMajorVersion=2
SMBIOSMinorVersion=7
SMBIOSPresent=TRUE
SoftwareElementID=4.6.5
SoftwareElementState=3
Status=OK
SystemBiosMajorVersion=4
SystemBiosMinorVersion=6
TargetOperatingSystem=0
Version=MOUSEC - 1072009
■その他の情報の取得方法
> wmic csproduct get /value
Caption=コンピューター システム製品
Description=コンピューター システム製品
IdentifyingNumber=Not Applicable
Name=(省略)
SKUNumber=
UUID=(省略)
Vendor=MouseComputer/81Pro
Version=Not Applicable
■ツールでの取得方法
> msinfo32
◆System Information for Windows (SIW)
http://www.chip.de/downloads/System-Information-for-Windows-SIW-2013-Letzte-Freeware_18363439.html
【資料】
◆実践インシデント対応 ~侵入された痕跡を発見せよ~ (JPCERT/CC, 2017/06/02)
https://www.nic.ad.jp/sc-nagoya/sc-program/day2-takeda.pdf
【ブログ】
◆【Windows10,8,7】PC起動とシャットダウンの時刻ログを調べる方法 (ぺんたんねっと, 2016/11/28)
http://pentan.net/win10-kidou-jikoku/
【ニュース】
◆Windowsパスワードをコマンドを使ってリセットする方法 (マイナビニュース, 2016/11/01)
https://news.mynavi.jp/article/20161101-a076/
【ブログ】
◆Hack Sticky Key Feature And Reset Windows Password Using CMD (Fossbytes, 2016/10/28)
https://fossbytes.com/sticky-key-feature-and-reset-windows-password-using-cmd/
【公開情報】
◆Domain Controller Roles (Microsoft, 2014/11/19)
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2003/cc786438(v=ws.10)
【ノウハウ】
■Windowsの起動と終了の履歴
イベントID ソース 概要
6005 EventLog 起動時
6006 EventLog 正常にシャットダウン
6008 EventLog 正常にシャットダウンせずに終了
6009 EventLog 起動時にブート情報を記録
7001 EventLog 高速スタートアップの起動(Windows10)
7002 EventLog 高速スタートアップの終了(Windows10)
42 Kernel-Power スリープ状態になったとき
1 Power-Troubleshooter スリープ状態から復帰したとき
12 Kernel-General OS起動時
13 Kernel-General OSシャットダウン時
出典: http://seyjoh.com/blog/2014/06/24/check_windows_boot_log/
出典: http://pentan.net/win10-kidou-jikoku/
【ニュース】
◆Windowsの起動と終了の履歴を確認する方法 (seijoh studio, 2014/06/24)
http://seyjoh.com/blog/2014/06/24/check_windows_boot_log/
【サイトリスト】
◆Domain Tools (DNSstuff)
http://www.dnsstuff.com/tools
【国内サイト】
【海外サイト】
◆WhoisTag
http://www.whoistag.com/
◆DNSstuff
http://www.dnsstuff.com/
◆Go Daddy
http://who.godaddy.com/
◆WHOIS Search for Domain Registration Information
http://www.networksolutions.com/whois/index.jsp