2019年11月21日

簡易なライブレスポンス

【起動履歴】(イベントビューア)
System.evtx ""Kernel-General"" ID:12,13 (OSの起動、終了)
System.evtx ""Kernel-Power"" ID:42,107 (スリープ状態、再開)
System.evtx ""EventLog"" ID:6005,6006 (ログサービス開始、終了)
System.evtx ""EventLog"" ID:6008 (強制終了後の起動)
System.evtx ""Winlogon"" ID:7001,7002 (ログオン、ログオフ)
Security.evtx ""Microsoft Windows Security Auditing""
           ID:4024,4634 (ログオン、ログオフ)
           ID:4025(ログオン失敗)

【リモートデスクトップによるログオン】(イベントビューア)
イベントログのSecurity.evtx ログオンタイプ10

【ルータの脆弱性】
JPCERT等で脆弱性がレポートされているモデル
ルータ管理画面にグローバルIP側からログインできる設定になっているか

【アンチウイルスソフト導入状況】
ライセンスは有効か、最新化されているか、検知履歴はあるか 起動中のアンチウイルスソフトの設定確認

【不審なメールの受信履歴】
メールソフトを起動して確認(添付ファイル、リンクURL)

【不審な実行ファイルの起動履歴】
Prefetch等 ツール → WiinPrefetchView、UserAssist

【レジストリのRunキー】
Autoruns

【不審なプロセス】
Process Monitor

【不審な通信】
TCP Explorer
netstat -ab  (要管理者権限)
posted by 貝貝 at 10:50| Comment(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

2019年08月20日

Windows10起動用USBメモリの作成ログ(Windows To Go非対応)

@ USBメモリ(64GB)をNTFSでフォーマット(Hドライブ)

A Windows AIKをインストール

B Windows10 EnterpriseのISOイメージをマウント(Gドライブ)

C AIKのIMAGEX.exeで、OSイメージをUSBメモリに展開
  >c:\Program Files\Windows AIK\Tools\x86>imagex.exe /apply G:\sources\install.wim 1 h:\

   ImageX Tool for Windows
   Copyright (C) Microsoft Corp. All rights reserved.
   Version: 6.1.7600.16385


   [ 100% ] Applying progress

   Successfully applied image.

   Total elapsed time: 462 min 9 sec

D ブートファイル作成
  >c:\Program Files\Windows AIK\Tools\x86>bcdboot.exe h:\windows /s h: /l ja-jp
   Boot files successfully created.
posted by 貝貝 at 17:40| Comment(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

2019年07月26日

WinPEによる保全手順例

@ WinPE用USBメモリを挿入して、F12またはF9(HP)でBOOTメニュー、またはF2等でBIOSメニュー(NEC、Panasonic)を表示し、USBメモリからブート
A 保全イメージ出力先のHDD(NTFSで初期化しておく)を以下の手順でマウントする
 1)diskpart
 2)list volume
 3)表示されたVolume一覧で出力先HDDの番号を確認して
   Select volume 番号
 4)assign letter=F(ドライブレターを適宜指定)
B コマンドプロンプトから次のコマンドでエクスプローラーを起動
   X:\Program Files(x86)\explorer.exe
C EnCase Forensic Imager (X:\Program Files(x86)フォルダから)を起動
D Add Local Deviceで、保全対象の内蔵HDDを選択
E 追加したHDDをダブルクリックで展開後、右クリックから「aquire」を選択してイメージ作成

※ WinPEのコマンドプロンプトは英語キーボード対応なので、次のキーを使用
アスタリスク(*) ➡ )
バックスラッシュ(\) ➡ ]
セミコロン(:) ➡  +
ダブルコーテーション(”)➡ *
イコール(=) ➡ ^
posted by 貝貝 at 11:09| Comment(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

Windows To Go 起動ディスク作成手順

@ Windows10 EnterpriseのDVDを挿入、またはISOイメージをマウント
Aコントロールパネルから「Windows To Go」を検索して実行
BWindows To Go起動の作成先ドライブを指定
CWindows10 Enterpriseのマウントドライブを指定
D作成開始
posted by 貝貝 at 10:52| Comment(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

2018年03月06日

Google Chrome Password Decryptor

添付ファイル参照

chrome_password_decrypt.py
posted by 貝貝 at 17:16| Comment(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

2018年01月29日

BITLOCKER関連まとめ

〇 利用可能なOS・エディション
フル機能サポート(BitLockerボリュームの作成/管理、GUI・CUIでの管理)
 ・Windows 7 Ultimate/Enterprise
 ・Windows 8/8.1/10 Pro/Enterprise
 ・Windows Server 2008〜2016
読み書きのみ(ロック解除と読み書き、manage-bde.exe等のCUIでの管理)
 ・Windows 7 Home Basic/Home Premium/Professional
 ・Windows 8/8.1(無印エディション)
 ・Windows 10 Home
読み出しのみ(「Bit Locker To Goリーダー」ツールによる読み出し)
 ・Windows XP
 ・Windows Vista Home Basic/Home Premium

〇 リムーバルメディア(Bitlocker To Go)やCドライブ以外の内蔵HDDの暗号化機能
・ エクスプローラ上でドライブ名を右クリックして[BitLockerで有効にする]を選択するか、コントロールパネルの[システムとセキュリティ]−[BitLockerドライブ暗号化]ツールで対象ドライブの[BitLockerで保護する]を実行し、解除パスワードを指定する
・ パスワードがわからなくなった等、非常時用の回復キー(48桁)が生成され、データとして保存するか、紙に印刷するかを選択できる。Microsoftアカウントのクラウドに保存することも可能。
・ 接続時に解除パスワードを入力することにより利用可能になる
・ 利用パソコンに接続すると、自動ロック解除する設定も可能

〇 内蔵HDDのOSドライブ(Cドライブ)の暗号化機能
・ 設定方法は上記と同じ
・ 暗号化キーはパソコンのTPMチップに保存され、起動時に自動ロック解除される
・ 取り外して、リムーバルドライブとして接続した場合は上記と同じ

〇 回復キーによる復号方法
・ パスワード入力ウィンドウで「その他オプション」−「回復キーの入力」を選択する
・ 回復キーはコピー&ペーストすることが可能

〇 回復キーの取得
・ ロック解除状態であれば、パスワードの入力等なしに回復キーの再保存や再印刷が可能
・ 管理者権限のコマンドラインから、次のコマンドで表示することもできる
   manage-bde -protectors -get C:  (※ -getの後方は対象ドライブレター)

〇 フォレンジックツールによる対応
・ EnCase Forensicでは、自動的にBITLOCKER暗号化メディアを検知し、回復キーの入力を要求する
・ X-WaysにはBITLOCKER解除機能はない

〇 BITLOCKERの無効化
・ ロック解除状態であれば、BITLOCKERを無効にして非暗号化メディアに復元することが可能
・ 無効化には相当の時間がかかる。過去の事例では、500GBのHDDで約4時間
posted by 貝貝 at 16:22| Comment(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

2017年06月23日

【Exel VBA】ハイパーリンクの画像を自動貼り付け関数

Excelのメニューから 開発 ー Visual Bbasic
→ VBAProjectを右クリック → 挿入 → 標準モジュール
→ 以下のコードを貼り付け

ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
'指定セルにハイパーリンクされた画像ファイルのフルパスをカレントセルに表示し、
'その画像を左隣セルに貼りつける関数
'---- pic_paste(セル番号)----
'
Function pic_paste(fname As Range)
Const n As Long = 2 'margin
Dim r As Range
Dim i As Long
Dim x As Double
Dim s As String

Set r = Application.ThisCell.Offset(0, 1).MergeArea

If fname.Hyperlinks.Count > 0 Then
s = fname.Hyperlinks(1).Address
Else
s = "--"
End If

ChDir ActiveWorkbook.Path

If Dir(s) = "" Then
pic_paste = s
Else
'Dir Application.Path
pic_paste = s
With ActiveSheet.Pictures.Insert(s).ShapeRange
.LockAspectRatio = msoTrue
x = Application.Min(r.Width / .Width, (r.Height - n) / .Height)
.Width = .Width * x
.Left = r.Left
.Top = r.Top + n / 2
End With
End If

End Function
ーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーーー
posted by 貝貝 at 09:23| Comment(0) | TrackBack(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

2017年06月08日

ジャンプリストの解析方法

C:\Users\(ユーザー名)\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
に保存された各アプリ別の使用ファイル履歴DBをパースする
 Nirsoft JumpListView
 EnScript link_file_jump_list_parser_(v3-0-1).enpack 

アプリ名はID化されているので、判明させるには公開リストとの照合等が必要。
 → http://port139.hatenablog.com/entry/2014/07/13/064250
posted by 貝貝 at 17:58| Comment(0) | TrackBack(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

OperaのWeb履歴・キャッシュ解析

現在のバージョンはChromeベースのエンジンになったため、NirsoftのChromeHistViewとChromeCacheViewで解析できる。

OperaのHistoryデータ
C:\Users\(ユーザー名)\AppData\Roaming\Opera Software\Opera Stable\History

Operaのキャッシュデータ
C:\Users\(ユーザー名)\AppData\Local\Opera Software\Opera Stable\Cache
posted by 貝貝 at 17:46| Comment(0) | TrackBack(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

最近使った項目(Recent)のショートカットファイルのパース方法

以下のPower Shellのスクリプトを使う

filter Get-Shortcut()
{
$shell = new-object -comobject WScript.Shell
return $shell.CreateShortcut($_)
}
cd "C:\Users\(ユーザー名)\AppData\Roaming\Microsoft\Windows\Recent"
dir -r -include "*.lnk" | Get-Shortcut | Select-Object -property TargetPath,FullName | Export-Csv ../WinLnkParse_results.txt -encoding UTF8

結果は、WinLnkParse_results.txt にCSV形式で出力される
posted by 貝貝 at 17:26| Comment(0) | TrackBack(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

2005年12月21日

CD-Rのデータがコピーできない場合

●B's GOLD等でバックアップしようとすると
  「トラックが不正です」

●ドラッグ&ドロップでファイルをコピーしようとすると
  「××をコピーできません。無効なMS-DOSファンクションです」

このような場合は、
@B's GOLDのリッピングで、イメージファイルを作成
AISO形式で、イメージファイルを空のCDに焼く
によりコピーする。
posted by 貝貝 at 11:11| Comment(0) | TrackBack(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

2005年12月05日

Windows Media Player等の画面キャプチャーが出来ない場合

画面のプロパティ−詳細設定ートラブルシューティング で、ハードウェアアクセラレータを下から2番目まで下げてからキャプチャーする。(ただし、高解像度のDVD再生はできなくなる)
posted by 貝貝 at 12:56| Comment(0) | TrackBack(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

2005年01月20日

全ディスクダンプから文字列検索

GNU utilities for Win32を使う。
@ディスク全体のイメージファイルを、ダンプツールで作成
 例)DD(Winバージョン)を使う場合
コマンド dd if=\\.対象ドライブ名 of=イメージファイル名(任意) 
    ==> dd if=\\.\c: of=Image
 注.作成されるイメージファイルの容量は、対象ドライブ全体とほぼ同じ容量になる
Aイメージファイルをバイナリー文字列検索
 例)GREP(Winバージョン)を使う場合
コマンド grep -a 文字列 イメージファイル名
    ==> grep -a 吉田健一 Image
●上記UNIX系コマンドのWinバージョンは、以下から無料でダウンロード可能
  http://unxutils.sourceforge.net/
posted by 貝貝 at 00:00| Comment(0) | TrackBack(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

2005年01月04日

お気に入りや履歴のフォルダ(レジストリ)

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
posted by 貝貝 at 00:00| Comment(0) | TrackBack(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

2005年01月03日

最後に終了した日時

system.dat, user.datの更新日時
posted by 貝貝 at 00:00| Comment(0) | TrackBack(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

2005年01月02日

最後に起動した日時

system.iniの更新日時
posted by 貝貝 at 00:00| Comment(0) | TrackBack(0) | Win全般 | このブログの読者になる | 更新情報をチェックする

2005年01月01日

Outlook Expressのアドレス帳

\WINDOWS\Application Data\Microsoft\Address Book\既定.wab

 に保存されている
posted by 貝貝 at 00:00| Comment(0) | TrackBack(0) | Win全般 | このブログの読者になる | 更新情報をチェックする