eventlogedit が利用されると、イベントログ内で個別のレコードが削除されます。 下記Blogでは、eventlogeditがレコードを削除する仕組み、検出ツールとサンプルのEVTXファイルが紹介されています。 blog.fox-it.com サンプルEVTXファイルの内容を確認したい…

Windows 10 環境で取得した ntuser.dat.LOG1 ファイルのデータ内容を確認します。 ファイルフォーマットについては「Windows registry file format specification」のNew format を参照しています。 ファイルの先頭 512バイトは、Base block となっており、N…

レジストリから値を削除し、変化を確認します。サンプルとして、HKEY_CURRENT_USER\Environment 配下にUserInitMprLogonScript値を作成します。この値はAPT28で自動起動の手口としても利用されています。 この値のオフセット位置を確認します。 Registry Exp…

前回の続きです。ROOTキー(nk)のサブキーを確認します。ROOTキー配下に、サブキーは 9個あります。 ROOTキーのCELL内容から、サブキーのリストはオフセット位置 72,288（4096 + 68,192）である事を確認できます。 09 00 00 00 Number of subkeys ⇒ 901 00 00…