Skip to content
EVTX parser

「{tag}」タグの記事: #dfir

← ブログに戻る
削除された EVTX レコードのカービングとロールオーバー ログの復元
未割り当て領域、pagefile、メモリからの EVTX レコードのシグネチャ カービング。そして、ライブログに必要なものが欠けているときに、不正形式チャンクを上手に扱うツール群。
evtxcarvingdfirdata-recovery
Security.evtx でラテラル ムーブメントを検知する
実際の敵対者ツールが Windows 環境でホスト間を移動する仕組みと、PsExec、Impacket、WMIExec を捕える Security.evtx の正確なイベント ID の組み合わせ。
evtxlateral-movementdfirincident-response
イベント ログ クリアと、生き残るギャップ
攻撃者が Windows イベント ログをどうクリアするか、ディスク上と転送チャネルにどんな証拠が残るか、そして wevtutil cl と Invoke-Phant0m のようなスレッド停止ツールの違い。
evtxanti-forensicsdfirincident-response
EVTX ファイル形式の解読
EVTX バイナリ形式の実務ツアー: ファイル ヘッダー、ELFCHNK チャンク、BinXML テンプレート、置換配列、そしてこれをパースするのが見た目より難しい理由。
evtxfile-formatbinxmldfir
EVTX トリアージ: 1 時間と 1 台のホストがあるときに最初に読むもの
インシデント レスポンス中の Windows イベント ログ トリアージのための実務家の操作順序 — どのチャネルが重要か、どの Event ID が嘘をつくか、Sysmon がどこで重労働をするか。
evtxincident-responsewindows-event-logssysmon
PowerShellロギング: モジュールロギングとスクリプトブロックロギングを有効にすると何が得られるか
PowerShellのモジュールロギング、スクリプトブロックロギング、トランスクリプト、AMSIバッファの実用的な違いと、本当に役立つものを有効にするGPO設定について。
evtxpowershelldfirlogging
実際の攻撃者を捕らえるSysmon設定
Sysmonに関する意見: IRで本当に重要なイベントID、なぜolafhartong/sysmon-modularが正しいベースラインなのか、そして実際の攻撃に対してあなたを盲目にする設定ミス。
sysmonevtxdetection-engineeringdfir