Eventlog の消去方法 - TT Security Lab

【ノウハウ】

■Eventlog の一括削除方法

Event ViewerでGUIを使用して消去([操作] → [ログ消去])
wevtutil コマンドで消去
専用ツールで消去(RirekiDel.exe, CCleaner 等)
Windows API を使用して消去(要ブログラミング)

■Eventlog の一部消去方法

DanderSpritz(eventlogedit)を使用
- NSAが作成

■一部が消去されたEventlogの解析ツール

danderspritz_evtx.py

【参考資料】

◆Detection and recovery of NSA’s covered up tracks (Fox-it, 2017/12/08)
https://blog.fox-it.com/tag/eventlogedit/

◆EventLogとEVTX1 (@port139 Blog, 2017/12/23)
http://port139.hatenablog.com/entry/2017/12/23/154853

【ツール】

◆adamcaudill/EquationGroupLeak
https://github.com/adamcaudill/EquationGroupLeak/tree/master/windows/Resources/Dsz/PyScripts/Lib/dsz/mca/security/cmd/eventlogedit

◆EquationGroupLeak/windows/Resources/Ops/PyScripts/lib/ops/cmd/eventlogedit.py
https://github.com/adamcaudill/EquationGroupLeak/blob/master/windows/Resources/Ops/PyScripts/lib/ops/cmd/eventlogedit.py