【概要】
> wsl コマンド
【ニュース】
◆Windows 10のコマンドプロンプトからWSL上のLinuxコマンドを呼び出す(バージョン1803対応版) (@IT, 2018/05/24 05:00)
http://www.atmarkit.co.jp/ait/articles/1805/24/news022.html
【概要】
> wsl コマンド
【ニュース】
◆Windows 10のコマンドプロンプトからWSL上のLinuxコマンドを呼び出す(バージョン1803対応版) (@IT, 2018/05/24 05:00)
http://www.atmarkit.co.jp/ait/articles/1805/24/news022.html
【ニュース】
◆「Windows 10」のキーボードやマウスが動かなくなったら試すべきTIPS (TechTarget, 2018/07/01 05:00)
「Windows 10」のマウスやキーボードが動かなくなったとき、IT担当者が簡単に試せるトラブルシューティング手順がある
【関連まとめ記事】
◆全体まとめ
◆OS (まとめ)
◆Windows (まとめ)
◆Windows TIPS (まとめ)
https://security-lab.hatenablog.com/entry/Windows_TIPS
【ノウハウ】
■Eventlog の一括削除方法
■Eventlog の一部消去方法
■一部が消去されたEventlogの解析ツール
【参考資料】
◆Detection and recovery of NSA’s covered up tracks (Fox-it, 2017/12/08)
https://blog.fox-it.com/tag/eventlogedit/
◆EventLogとEVTX1 (@port139 Blog, 2017/12/23)
http://port139.hatenablog.com/entry/2017/12/23/154853
【ツール】
◆adamcaudill/EquationGroupLeak
https://github.com/adamcaudill/EquationGroupLeak/tree/master/windows/Resources/Dsz/PyScripts/Lib/dsz/mca/security/cmd/eventlogedit
◆EquationGroupLeak/windows/Resources/Ops/PyScripts/lib/ops/cmd/eventlogedit.py
https://github.com/adamcaudill/EquationGroupLeak/blob/master/windows/Resources/Ops/PyScripts/lib/ops/cmd/eventlogedit.py
【ツール】
◆Linux Forensics Tools Repository - LiFTeR (CERT, 2018/04/27)
https://forensics.cert.org/
【概要】
【ツール】
◆RDP Wrapper 1.6.2 (Chocolatey, 2018/01/27)
https://chocolatey.org/packages/rdpwrapper
【ブログ】
◆EventLogとEVTX1 (@port139 Blog, 2017/12/23)
http://port139.hatenablog.com/entry/2017/12/23/154853
【公開情報】
◆Detection and recovery of NSA’s covered up tracks (Fox-it, 2017/12/08)
https://blog.fox-it.com/tag/eventlogedit/
【概要】
Office のバージョン | レジストリ サブキー |
---|---|
Office 2007 以降 | 次のレジストリ サブキーの DWORD 値を変更します。 |
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}] | |
"Compatibility Flags"=dword:00000400 | |
次の エントリを削除します。 | |
[HKEY_CLASSES_ROOT\CLSID\{0002CE02-0000-0000-C000-000000000046}] | |
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Equation.3] | |
Office 2007 以降、x64 Windows 上の x86 Office | 次のレジストリ サブキーの DWORD 値を変更します。 |
[HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Microsoft\Office\Common\COM Compatibility\{0002CE02-0000-0000-C000-000000000046}] | |
"Compatibility Flags"=dword:00000400 | |
次のエントリを削除します。 | |
[HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{0002CE02-0000-0000-C000-000000000046}] | |
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Equation.3] |
(以上は Microsoftの情報。 引用元はhttps://support.microsoft.com/ja-jp/help/4055535/how-to-disable-equation-editor-3-0 )
【公開情報】
◆数式エディター 3.0 を無効にする方法 (Microsoft)
https://support.microsoft.com/ja-jp/help/4055535/how-to-disable-equation-editor-3-0
【ノウハウ】
USN ジャーナルの操作方法を紹介します。
■ジャーナルの状態確認
C:\> fsutil usn queryjournal c:
■ジャーナルの削除
C:\> fsutil usn deletejournal /D C:
【構文】
fsutil usn [createjournal] m = <MaxSize> a = <AllocationDelta><VolumePath>
fsutil usn [deletejournal] {/D |/N} <VolumePath>
fsutil usn [enumdata] <FileRef><LowUSN><HighUSN><VolumePath>
fsutil usn [queryjournal] <VolumePath>
fsutil usn [readdata] <FileName>
【パラメータ】
パラメーター | 説明 |
---|---|
createjournal | USN 変更ジャーナルを作成します。 |
m=<MaxSize> | NTFS が変更ジャーナルに割り当てるバイトの最大サイズを指定します。 |
a = <AllocationDelta> | バイトを末尾に追加し、変更ジャーナルの先頭から削除されるメモリ割り当てサイズを指定します。 |
<VolumePath> | ドライブ文字 (コロンが後に続く) を指定します。 |
deletejournal | 削除またはアクティブな USN 変更ジャーナルを無効にします。*1 |
/d | アクティブな USN 変更ジャーナルを無効にし、変更ジャーナルが無効になっているときに、入出力 (I/O) のコントロールを返します。 |
/n | アクティブな USN 変更ジャーナルを無効に、だけ変更ジャーナルを無効にした後は、I/O 制御を戻します。 |
enumdata | 列挙し、指定した 2 つの境界の間の変更の履歴を一覧表示します。 |
<FileRef> | 列挙を開始すること、ボリューム上のファイル内の位置を表す序数を指定します。 |
<LowUSN> | 返されるレコードをフィルター処理するために使用、USN 値の範囲の下限を指定します。 最終変更ジャーナルの USN 間、 LowUSNとHighUSNメンバーの値に等しいかだけのレコードが返されます。 |
<HighUSN> | 返すファイルをフィルタ リングするために使用、USN 値の範囲の上限を指定します。 |
queryjournal | 現在の変更ジャーナル、レコード、および容量に関する情報を収集するのには、ボリュームの USN データを照会します。 |
readdata | ファイルの USN データを読み取ります。 |
<FileName> | たとえば、ファイル名と拡張子を含むファイルへの完全なパスを指定します C:\documents\filename.txt。 |
出典: https://technet.microsoft.com/ja-jp/library/cc788042(v=ws.10).aspx
【参考資料】
◆Windows コマンドプロンプト リファレンス FSUTIL (Maakun, 2008/09/10)
http://www.geocities.jp/maakun_gemini_ab/contents/pc/cmd_reference_fsutil.html
◆USN_RECORD_V2 structure (Microsoft)
https://msdn.microsoft.com/en-us/library/aa365722(VS.85).aspx
◆USN Journal
https://en.wikipedia.org/wiki/USN_Journal
【公開情報】
◆PlugX Tracker
http://ptrack.h3x.eu/corpus/297
【ナレッジ】
■コマンドでの取得方法
> wmic bios get smbiosbiosversion
SMBIOSBIOSVersion
4.6.5
> wmic bios get biosversion
BIOSVersion
{"MOUSEC - 1072009", "4.6.5", "American Megatrends - 4028E"}
BiosCharacteristics={7,11,12,15,16,19,26,27,29,32,33,40,42,43}
BIOSVersion={"MOUSEC - 1072009","4.6.5","American Megatrends - 4028E"}
BuildNumber=
Caption=4.6.5
CodeSet=
CurrentLanguage=en|US|iso8859-1
Description=4.6.5
EmbeddedControllerMajorVersion=255
EmbeddedControllerMinorVersion=255
IdentificationCode=
InstallableLanguages=1
InstallDate=
LanguageEdition=
ListOfLanguages={"en|US|iso8859-1"}
Manufacturer=American Megatrends Inc.
Name=4.6.5
OtherTargetOS=
PrimaryBIOS=TRUE
ReleaseDate=20140408000000.000000+000
SerialNumber=Not Applicable
SMBIOSBIOSVersion=4.6.5
SMBIOSMajorVersion=2
SMBIOSMinorVersion=7
SMBIOSPresent=TRUE
SoftwareElementID=4.6.5
SoftwareElementState=3
Status=OK
SystemBiosMajorVersion=4
SystemBiosMinorVersion=6
TargetOperatingSystem=0
Version=MOUSEC - 1072009
■その他の情報の取得方法
> wmic csproduct get /value
Caption=コンピューター システム製品
Description=コンピューター システム製品
IdentifyingNumber=Not Applicable
Name=(省略)
SKUNumber=
UUID=(省略)
Vendor=MouseComputer/81Pro
Version=Not Applicable
■ツールでの取得方法
> msinfo32
◆System Information for Windows (SIW)
http://www.chip.de/downloads/System-Information-for-Windows-SIW-2013-Letzte-Freeware_18363439.html
【資料】
◆実践インシデント対応 ~侵入された痕跡を発見せよ~ (JPCERT/CC, 2017/06/02)
https://www.nic.ad.jp/sc-nagoya/sc-program/day2-takeda.pdf