BITS

項目	接続元	接続先
通信プロトコル	445/tcp	445/tcp
権限	User	User
ドメインへの所属	不要	不要
サービス	-	-
OS	Windows	Windows
備考	-	-

環境	動作可否
Windows 7 + Windows Server 2012	動作する
Windows 10 + Windows Server 2012	動作する
Windows 11 + Windows Server 2025	動作する

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-PowerShell/Operational	4103	パイプラインを実行しています	コンテキスト: コマンド名 = Add-Type, スクリプト名 = C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\BitsTransfer\BitsTransfer.psm1, ユーザー = [ドメイン名]\[ユーザー名]
2	Windows PowerShell	800	パイプライン実行の詳細	コマンドラインのパイプライン実行の詳細データ: コンテキスト情報 > UserId = [ドメイン名]\[ユーザー名], コンテキスト情報 > ScriptName = C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\BitsTransfer\BitsTransfer.psm1
3	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue Image: C:\Windows\system32\svchost.exe TargetObject: HKLM\System\CurrentControlSet\Services\BITS\Start Details: DWORD=0x00000003
4	Microsoft-Windows-Bits-Client/Operational	3	Bits-Client	BITS サービスが新しいジョブを作成しました。転送ジョブ: BITS Transfer 所有者: [ユーザー名] プロセスパス: [BITSを呼び出した実行ファイルのパス]
5	Microsoft-Windows-Bits-Client/Operational	59	Bits-Client	BITSは、[URL] URLに関連付けられている BITS Transfer 転送ジョブを開始しました。 URL: [対象ファイルのUNCパス（\\接続先\BITS\ファイル名）]
6	Microsoft-Windows-Sysmon/Operational	11	File created	File created CreationUtcTime: [発生日時(UTC)] Image: C:\Windows\system32\svchost.exe TargetFilename: [一時ファイル（[実行パス]\BIT[ランダム英数字].tmp）]
7	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [一時ファイル（[実行パス]\BIT[ランダム英数字].tmp）] オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData, WriteAttributesを含むプロセス情報 > プロセス名: C:\Windows\system32\svchost.exe
8	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [一時ファイル（[実行パス]\BIT[ランダム英数字].tmp）] オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData, AppendData, WriteAttributes プロセス情報 > プロセス名: C:\Windows\system32\svchost.exe
9	Microsoft-Windows-Bits-Client/Operational	60	Bits-Client	BITS は、URL [URL] に関連付けられている BITS Transfer 転送ジョブの転送を停止しました。状態コードは [状態コード] です。 URL: [対象ファイルのUNCパス（\\接続先\BITS\ファイル名）] 状態コード: 0x0
10	Microsoft-Windows-Bits-Client/Operational	4	Bits-Client	転送ジョブが完了しました。転送ジョブ: BITS Transfer 所有者: [ドメイン名]\[ユーザー名] ファイル数: [転送したファイルの数]

レジストリエントリ

#	パス	値	備考
1	HKLM\SYSTEM\ControlSet001\Services\BITS\Start	3

MFT

#	パス	ヘッダフラグ	備考
1	[転送されたファイル]	FILE	ALLOCATED

USNジャーナル

#	ファイル名	処理	備考
1	BIT[ランダム英数字].tmp	FileCreate FileCreate\|Close RenameOldName DataExtend\|FileCreate DataOverwrite\|DataExtend\|FileCreate DataOverwrite\|DataExtend\|FileCreate\|BasicInfoChange DataOverwrite\|DataExtend\|FileCreate\|BasicInfoChange\|Close BasicInfoChange BasicInfoChange\|Close FileCreate FileCreate\|Close RenameOldName
2	[受信したファイル名]	RenameNewName RenameNewName\|Close	BIT[ランダム英数字].tmpにダウンロード中のデータを保存し、その後にファイル名を変更する。そのためBIT[ランダム英数字].tmpの作成後に、Renameが発生する。

- 接続先

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	5140	File Share	ネットワーク共有オブジェクトにアクセスしました。サブジェクト > アカウント名: [ログオンユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [送信元ポート番号] 共有情報 > 共有名: \\*\BITS 共有情報 > 共有パス: \??\C:\BITS アクセス要求情報 > アクセス: ReadDataまたはListDirectory
2	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > アカウント名: [ログオンユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [送信元ポート番号] 共有情報 > 共有名: \\*\BITS 共有情報 > 共有パス: \??\C:\BITS

- 詳細情報

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-PowerShell/Operational	4103	パイプラインを実行しています	コンテキスト: コマンド名 = Add-Type, スクリプト名 = C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\BitsTransfer\BitsTransfer.psm1, ユーザー = [ドメイン名]\[ユーザー名]
2	Windows PowerShell	400	エンジンのライフサイクル	エンジンの状態が [PreviousEngineState] から [NewEngineState] に変更されました。データ: エンジンの状態が None から Available に変更されました。
3	Windows PowerShell	800	パイプライン実行の詳細	コマンドラインのパイプライン実行の詳細データ: コンテキスト情報 > UserId = [ドメイン名]\[ユーザー名], コンテキスト情報 > ScriptName = C:\WINDOWS\system32\WindowsPowerShell\v1.0\Modules\BitsTransfer\BitsTransfer.psm1
4	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted	Registry object added or deleted EventType: CreateKey Image: C:\Windows\system32\svchost.exe TargetObject: HKLM\System\CurrentControlSet\Services\BITS
5	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue Image: C:\Windows\system32\svchost.exe TargetObject: HKLM\System\CurrentControlSet\Services\BITS\PerfMMFileName
6	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue Image: C:\Windows\system32\svchost.exe TargetObject: HKLM\System\CurrentControlSet\Services\BITS
7	Microsoft-Windows-Sysmon/Operational	13	Registry value set	Registry value set EventType: SetValue Image: C:\Windows\system32\svchost.exe TargetObject: HKLM\System\CurrentControlSet\Services\BITS\Start Details: DWORD=0x00000003
8	System	7040	Service Control Manager	[param1] サービスの開始の種類は [param2] から [param3] に変更されました。 param1: Background Intelligent Transfer Service param2: 要求による開始 param3: 自動的な開始
9	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected Image: System Protocol: tcp SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: [接続先ポート番号]
10	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > アプリケーション名: System ネットワーク情報 > プロトコル: 6 (TCP) ネットワーク情報 > ソースポート: [接続元ポート番号]
11	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > アプリケーション名: System ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 445 ネットワーク情報 > プロトコル: 6 (TCP)
12	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > アプリケーション名: System ネットワーク情報 > プロトコル: 6 (TCP) ネットワーク情報 > ソースポート: [接続元ポート番号]
13	Microsoft-Windows-SmbClient/Connectivity	30830	SmbConnectionInitiatedSelectedInfo	SMB リダイレクターは次のパラメーターで開始された接続を選択しました Server name: [接続先ホスト] Server socket address: [接続先IPアドレス]:[接続先ポート番号] Transport: TCPIP Instance Name: \Device\LanmanRedirector
14	Microsoft-Windows-Bits-Client/Operational	3	Bits-Client	BITS サービスが新しいジョブを作成しました。転送ジョブ: BITS Transfer 所有者: [ユーザー名] プロセスパス: [BITSを呼び出した実行ファイルのパス]
15	Microsoft-Windows-Bits-Client/Operational	59	Bits-Client	BITSは、[URL] URLに関連付けられている BITS Transfer 転送ジョブを開始しました。 URL: [対象ファイルのUNCパス（\\接続先\BITS\ファイル名）]
16	Microsoft-Windows-Sysmon/Operational	11	File created	File created Image: C:\Windows\system32\svchost.exe TargetFilename: [一時ファイル（[実行パス]\BIT[ランダム英数字].tmp）] CreationUtcTime: [発生日時(UTC)]
17	Security	4656	File System	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > ハンドル ID: [ハンドルID] オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: [一時ファイル（[実行パス]\BIT[ランダム英数字].tmp）] アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData, WriteAttributesを含むプロセス情報 > プロセス名: C:\Windows\system32\svchost.exe
18	Security	4663	File System	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > オブジェクトの種類: File オブジェクト > オブジェクト名: 一時ファイル（[実行パス]\BIT[ランダム英数字].tmp）オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData, AppendData, WriteAttributes プロセス情報 > プロセス名: C:\Windows\system32\svchost.exe
19	Security	4658	File System	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス名: C:\Windows\system32\svchost.exe
20	Microsoft-Windows-Bits-Client/Operational	60	Bits-Client	BITS は、URL [URL] に関連付けられている BITS Transfer 転送ジョブの転送を停止しました。状態コードは [状態コード] です。 URL: [対象ファイルのUNCパス（\\接続先\BITS\ファイル名）] 状態コード: 0x0
21	Microsoft-Windows-Bits-Client/Operational	4	Bits-Client	転送ジョブが完了しました。転送ジョブ: BITS Transfer 所有者: [ユーザー名] ファイル数: [転送したファイルの数]

レジストリエントリ

#	パス	値	備考
1	HKLM\SYSTEM\ControlSet001\Services\BITS\Start	3

MFT

#	パス	ヘッダフラグ	備考
1	[転送されたファイル]	FILE	ALLOCATED

USNジャーナル

#	ファイル名	処理	備考
1	BIT[ランダム英数字].tmp	FileCreate FileCreate\|Close RenameOldName DataExtend\|FileCreate DataOverwrite\|DataExtend\|FileCreate DataOverwrite\|DataExtend\|FileCreate\|BasicInfoChange DataOverwrite\|DataExtend\|FileCreate\|BasicInfoChange\|Close BasicInfoChange BasicInfoChange\|Close FileCreate FileCreate\|Close RenameOldName
2	[受信したファイル名]	RenameNewName RenameNewName\|Close	BIT[ランダム英数字].tmpにダウンロード中のデータを保存し、その後にファイル名を変更する。そのためBIT[ランダム英数字].tmpの作成後に、Renameが発生する。

- 接続先

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected User: NT AUTHORITY\SYSTEM Protocol: tcp SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト] DestinationPort: 445
2	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > アプリケーション名: System ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [送信元IPアドレス] ネットワーク情報 > ソースポート: [送信元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: 445 ネットワーク情報 > プロトコル: 6 (TCP)
3	Security	4624	Logon	アカウントが正常にログオンしました。ログオン情報 > ログオンタイプ: 3 サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ログオンユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] ネットワーク情報 > ソースワークステーション名: [接続元ホスト] ネットワーク情報 > ソースネットワークアドレス: [送信元IPアドレス] ネットワーク情報 > ソースポート: [送信元ポート番号]
4	Security	5140	File Share	ネットワーク共有オブジェクトにアクセスしました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ログオンユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [送信元ポート番号] 共有情報 > 共有名: \\*\IPC$ アクセス要求情報 > アクセス: ReadDataまたはListDirectory
5	Security	5140	File Share	ネットワーク共有オブジェクトにアクセスしました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ログオンユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [送信元ポート番号] 共有情報 > 共有名: \\*\BITS 共有情報 > 共有パス: \??\C:\BITS アクセス要求情報 > アクセス: ReadDataまたはListDirectory
6	Security	5145	Detailed File Share	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ログオンユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] オブジェクト情報 > オブジェクトの種類: File オブジェクト情報 > 送信元アドレス: [接続元IPアドレス] オブジェクト情報 > ソースポート: [送信元ポート番号] 共有情報 > 共有名: \\*\BITS 共有情報 > 共有パス: \??\C:\BITS
7	Security	4634	Logoff	アカウントがログオフしました。 SubjectUserSid: [ユーザーSID] SubjectUserName: [ログオンユーザー名] SubjectDomainName: [ドメイン名] ログオンタイプ: 3 LogonId: [イベント4624で記録されたログオンID]

- パケット

#	オペレーション	接続元ホスト	接続元ポート番号	接続先ホスト	接続先ポート	プロトコル	アプリケーション
1	Session message; Negotiate Protocol	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
2	Negotiate Protocol Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
3	Negotiate Protocol Request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
4	Negotiate Protocol Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
5	Session Setup Request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
6	Session Setup Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
7	Tree Connect Request, Tree: \\[接続先のNetBIOS名]\IPC$	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
8	Tree Connect Response, Tree: \\[接続先のNetBIOS名]\IPC$	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
9	Ioctl Request FSCTL_QUERY_NETWORK_INTERFACE_INFO	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
10	Ioctl Response FSCTL_QUERY_NETWORK_INTERFACE_INFO	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
11	Ioctl Request FSCTL_DFS_GET_REFERRALS	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
12	Ioctl Response, Error: STATUS_FS_DRIVER_REQUIRED	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
13	Tree Connect Request, Tree: \\[接続先のNetBIOS名]\BITS	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
14	Tree Connect Response, Tree: \\[接続先のNetBIOS名]\BITS	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
15	Create Request File: [ファイル名]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
16	Create Response File: [ファイル名]	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
17	Close Request File: [ファイル名]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
18	Close Response, File: [ファイル名]	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
19	Create Request, File: <share>	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
20	Create Response, File: <share>	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
21	GetInfo Request FS_INFO/FileFsSizeInformation, File: <share>	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
22	GetInfo Response, File: <share>	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
23	Close Request, File: <share>	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
24	Close Response, File: <share>	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
25	Create Request, File: <share>; GetInfo Request FS_INFO/FileFsSizeInformation	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
26	Create Response, File: <share>; GetInfo Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
27	Close Request, File: <share>	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
28	Close Response, File: <share>	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
29	Create Request File: [ファイル名]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
30	Create Response File: [ファイル名]	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
31	Read Request Len:[長さ] Off:0, File: [ファイル名]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
32	Read Response, File: [ファイル名]	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
33	Close Request File: [ファイル名]	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
34	Close Response, File: [ファイル名]	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
35	Tree Disconnect Request, Tree: \\[接続先のNetBIOS名]\IPC$	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
36	Tree Disconnect Response, Tree: \\[接続先のNetBIOS名]\IPC$	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
37	Ioctl Request FSCTL_QUERY_NETWORK_INTERFACE_INFO	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
38	Ioctl Response FSCTL_QUERY_NETWORK_INTERFACE_INFO	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
39	Tree Disconnect Request, Tree: \\[接続先のNetBIOS名]\BITS	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
40	Tree Disconnect Response, Tree: \\[接続先のNetBIOS名]\BITS	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2
41	Session Logoff Request	[接続元IPアドレス]	[接続元ポート番号]	[接続先IPアドレス]	445	tcp	SMB
42	Session Logoff Response	[接続先IPアドレス]	445	[接続元IPアドレス]	[接続元ポート番号]	tcp	SMB2

BITS

- 目次

- ツール概要

- ツール動作概要

- 概要

- 動作確認環境

- ログから得られる情報

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

レジストリエントリ

MFT

USNジャーナル

- 接続先

イベントログ

- 詳細情報

- 接続元

イベントログ

レジストリエントリ

MFT

USNジャーナル

- 接続先

イベントログ

- パケット

- 備考