BeginX

項目	接続元	接続先
通信プロトコル	tcpまたはudpでポート番号は検体毎に異なる	tcpまたはudpでポート番号は検体毎に異なる
権限	User	User
ドメインへの所属	不要	不要
サービス	-	-
OS	Windows	Windows
備考	-	-

環境	動作可否
Windows 7 + Windows Server 2012	動作する
Windows 10 + Windows Server 2012	動作する
Windows 11 + Windows Server 2025	動作する

#	パス	値	備考
1	HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\TCP Query User{[UUID]}[接続先実行ファイルのパス]	v2.10\|Action=Allow\|Active=TRUE\|Dir=In\|Protocol=6\|Profile=Domain\|App=[接続先実行ファイルのパス]\|Name=[実行ファイル名]\|Desc=[実行ファイル名]\|Defer=User\|
2	HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\UDP Query User{[UUID]}[接続先実行ファイルのパス]	v2.10\|Action=Allow\|Active=TRUE\|Dir=In\|Protocol=17\|Profile=Domain\|App=[接続先実行ファイルのパス]\|Name=[実行ファイル名]\|Desc=[実行ファイル名]\|Defer=User\|

- 接続元

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > トークン昇格の種類: TokenElevationTypeLimited(3) プロセス情報 > プロセスのコマンドライン: [実行ファイルのパス] [接続先ホスト]:[接続先ポート番号] [実行コマンド] プロセス情報 > 作成元プロセス ID: [親プロセスID]
2	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ] CommandLine: [実行ファイルのパス] [接続先ホスト]:[接続先ポート番号] [実行コマンド] CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] IntegrityLevel: Medium Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID]
3	Microsoft-Windows-Sysmon/Operational	7	Image loaded	Image loaded. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] ImageLoaded: [読み取ったDLLファイルなど] FileVersion・Description・Product・Company・OriginalFileName: [DLLファイルなどのメタデータ] User: [ドメイン名]\[ユーザー名] 本実行ファイルは32ビットバイナリであるため、SysWOW64配下のDLLファイルが参照される。
4	Security	4673	Sensitive Privilege Use	特権のあるサービスが呼び出されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] サービス > サーバー: Security サービス要求情報 > 特権: SeProfileSingleProcessPrivilege プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
5	Security	5158	Filtering Platform Connection	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセス ID: [プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
6	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 送信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: [接続先ポート番号] ネットワーク情報 > プロトコル: 6 (TCP)
7	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] User: [ドメイン名]\[ユーザー名] Initiated: True SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: [接続先ポート番号]
8	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 終了状態: 0x0 プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
9	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [実行ファイルのパス] User: [ドメイン名]\[ユーザー名]
10	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (or ListDirectory), WriteData (or AddFile), AppendData (or AddSubdirectory or CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
11	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (or AddFile), AppendData (or AddSubdirectory or CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
12	Security	4658	File System	オブジェクトに対するハンドルが閉じました。オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
13	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf CreationUtcTime: [ファイル作成日時(UTC)]

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf	[実行ファイル名]	[実行ファイルのパス]

MFT

#	パス	ヘッダフラグ	備考
1	C:\Windows\Prefetch\[実行ファイル名]-[ハッシュ値].pf	FILE

USNジャーナル

#	ファイル名	処理	備考
1	[実行ファイル名]-[ハッシュ値].pf	DataExtend\|FileCreate\|Close RenameOldName

- 接続先

イベントログ

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [実行ファイルのパス] プロセス情報 > プロセスのコマンドライン: [接続先実行ファイルのパス] プロセス情報 > 作成元プロセス ID: [親プロセスID]
2	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [接続先実行ファイルのパス] FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ] CommandLine: [接続先実行ファイルのパス] CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentUser: [親プロセスの実行ユーザ]
3	Security	4673	Sensitive Privilege Use	特権のあるサービスが呼び出されました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] サービス > サーバー: Security サービス要求情報 > 特権: SeProfileSingleProcessPrivilege プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: [実行ファイルのパス]
4	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\Windows\SysWOW64\netsh.exe プロセス情報 > プロセスのコマンドライン: netsh advfirewall firewall delete rule name=Trend protocol=TCP dir=in localport=[接続先ポート番号] プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > 作成元プロセス名: [接続先実行ファイルのパス] 本実行ファイルは32ビットバイナリであるため、SysWOW64配下のnetsh.exeが実行される。
5	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\SysWOW64\netsh.exe FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ] CommandLine: netsh advfirewall firewall delete rule name=Trend protocol=TCP dir=in localport=[接続先ポート番号] CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentImage: [接続先実行ファイルのパス] ParentCommandLine: [接続先実行ファイルのパス] ParentUser: [親プロセスの実行ユーザ]
6	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\SysWOW64\netsh.exe
7	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\SysWOW64\netsh.exe User: [ドメイン名]\[ユーザー名]
8	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\Windows\SysWOW64\netsh.exe プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1) プロセス情報 > プロセスのコマンドライン: netsh advfirewall firewall add rule name=Trend protocol=TCP dir=in localport=[接続先ポート番号] action=allow プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > 作成元プロセス名: [接続先実行ファイルのパス] 本実行ファイルは32ビットバイナリであるため、SysWOW64配下のnetsh.exeが実行される。
9	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\SysWOW64\netsh.exe FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ] CommandLine: netsh advfirewall firewall add rule name=Trend protocol=TCP dir=in localport=[接続先ポート番号] action=allow CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] Hashes: [実行ファイルのハッシュ値] ParentProcessId: [親プロセスID] ParentImage: [接続先実行ファイルのパス] ParentCommandLine: [接続先実行ファイルのパス] ParentUser: [親プロセスの実行ユーザ]
10	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\SysWOW64\netsh.exe
11	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\SysWOW64\netsh.exe User: [ドメイン名]\[ユーザー名]
12	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\NETSH.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (or ListDirectory), WriteData (or AddFile), AppendData (or AddSubdirectory or CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
13	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\NETSH.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
14	Security	4658	File System	オブジェクトに対するハンドルが閉じました。オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
15	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\NETSH.EXE-[ハッシュ値].pf CreationUtcTime: [ファイル作成日時(UTC)]
16	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\[接続先実行ファイル名]-[ハッシュ値].pf オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (or ListDirectory), WriteData (or AddFile), AppendData (or AddSubdirectory or CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
17	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\[接続先実行ファイル名]-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
18	Security	4658	File System	オブジェクトに対するハンドルが閉じました。オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
19	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\[接続先実行ファイル名]-[ハッシュ値].pf CreationUtcTime: [ファイル作成日時(UTC)] ここまではサーバープログラムの待受準備。
20	Security	5156	Filtering Platform Connection	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセス ID: [実行プロセスID] アプリケーション情報 > アプリケーション名: [実行ファイルのパス] ネットワーク情報 > 方向: 着信ネットワーク情報 > 送信元アドレス: [接続元IPアドレス] ネットワーク情報 > ソースポート: [接続元ポート番号] ネットワーク情報 > 宛先アドレス: [接続先IPアドレス] ネットワーク情報 > 宛先ポート: [接続先ポート番号] ネットワーク情報 > プロトコル: 6 (TCP) ここからはリモートからのコマンド実行。
21	Microsoft-Windows-Sysmon/Operational	3	Network connection detected	Network connection detected UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [接続先実行ファイルのパス] User: [ドメイン名]\[ユーザー名] Protocol: tcp Initiated: False SourceIp: [接続元IPアドレス] SourceHostname: [接続元ホスト名] SourcePort: [接続元ポート番号] DestinationIp: [接続先IPアドレス] DestinationHostname: [接続先ホスト名] DestinationPort: [接続先ポート番号]
22	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: C:\Windows\SysWOW64\cmd.exe プロセス情報 > プロセスのコマンドライン: cmd /c [実行コマンド] プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > 作成元プロセス名: [実行ファイルのパス]
23	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\SysWOW64\cmd.exe FileVersion・Description・Product・Company・OriginalFileName: [実行コマンドのメタデータ] CommandLine: cmd /c [実行コマンド] CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] ParentProcessId: [親プロセスID] ParentImage: [接続先実行ファイルのパス] ParentCommandLine: [接続先実行ファイルのパス] ParentUser: [親プロセスの実行ユーザ]
24	Security	4688	Process Creation	新しいプロセスが作成されました。作成元サブジェクト > セキュリティ ID: [ユーザーSID] 作成元サブジェクト > アカウント名: [ユーザー名] 作成元サブジェクト > アカウントドメイン: [ドメイン名] 作成元サブジェクト > ログオン ID: [ログオンID] プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID] プロセス情報 > 新しいプロセス名: [指定されたコマンド] プロセス情報 > プロセスのコマンドライン: [指定されたコマンド] プロセス情報 > 作成元プロセス ID: [親プロセスID] プロセス情報 > 作成元プロセス名: C:\Windows\SysWOW64\cmd.exe
25	Microsoft-Windows-Sysmon/Operational	1	Process Create	Process Create UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [指定されたコマンド] FileVersion・Description・Product・Company・OriginalFileName: [実行コマンドのメタデータ] CommandLine: [指定されたコマンド] CurrentDirectory: [作業ディレクトリ] User: [ドメイン名]\[ユーザー名] LogonId: [ログオンID] ParentProcessId: [親プロセスID] ParentImage: C:\Windows\SysWOW64\cmd.exe ParentCommandLine: C:\Windows\SysWOW64\cmd.exe ParentUser: [親プロセスの実行ユーザ]
26	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: [指定されたコマンド]
27	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: [指定されたコマンド] User: [ドメイン名]\[ユーザー名]
28	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\[指定されたコマンド]-[ハッシュ値].pf オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
29	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\[指定されたコマンド]-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
30	Security	4658	File System	オブジェクトに対するハンドルが閉じました。オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
31	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\[指定されたコマンド]-[ハッシュ値].pf CreationUtcTime: [ファイル作成日時(UTC)]
32	Security	4689	Process Termination	プロセスが終了しました。サブジェクト > セキュリティ ID: [ユーザーSID] サブジェクト > アカウント名: [ユーザー名] サブジェクト > アカウントドメイン: [ドメイン名] サブジェクト > ログオン ID: [ログオンID] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\SysWOW64\cmd.exe
33	Microsoft-Windows-Sysmon/Operational	5	Process terminated	Process terminated. UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\Windows\SysWOW64\cmd.exe User: [ドメイン名]\[ユーザー名]
34	Security	4656	File System	オブジェクトに対するハンドルが要求されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\CMD.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [ハンドルID] アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
35	Security	4663	File System	オブジェクトへのアクセスが試行されました。オブジェクト > オブジェクト名: C:\Windows\Prefetch\CMD.EXE-[ハッシュ値].pf オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance) プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
36	Security	4658	File System	オブジェクトに対するハンドルが閉じました。オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル] プロセス情報 > プロセス ID: [プロセスID] プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
37	Microsoft-Windows-Sysmon/Operational	11	File created	File created UtcTime: [発生日時(UTC)] ProcessId: [実行プロセスID] Image: C:\WINDOWS\system32\svchost.exe TargetFilename: C:\Windows\Prefetch\CMD.EXE-[ハッシュ値].pf CreationUtcTime: [ファイル作成日時(UTC)]

レジストリエントリ

#	パス	値	備考
1	HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\TCP Query User{[GUID}[接続先実行ファイルのパス]	v2.10\|Action=Allow\|Active=TRUE\|Dir=In\|Protocol=6\|Profile=Domain\|App=[接続先実行ファイルのパス]\|Name=[接続先実行ファイル名]\|Desc=[接続先実行ファイル名]\|Defer=User\|
2	HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\UDP Query User{[GUID]}[接続先実行ファイルのパス]	v2.10\|Action=Allow\|Active=TRUE\|Dir=In\|Protocol=17\|Profile=Domain\|App=[接続先実行ファイルのパス]\|Name=[接続先実行ファイル名]\|Desc=[接続先実行ファイル名]\|Defer=User\|

Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	備考
1	C:\Windows\Prefetch\[接続先実行ファイル名]-[ハッシュ値].pf	[接続先実行ファイル名]	[接続先実行ファイルのパス]

MFT

#	パス	ヘッダフラグ	備考
1	C:\Windows\Prefetch\[接続先実行ファイル名]-[ハッシュ値].pf	FILE

USNジャーナル

#	ファイル名	処理	備考
1	[接続先実行ファイル名]-[ハッシュ値].pf	DataExtend\|FileCreate\|Close

BeginX

- 目次

- ツール概要

- ツール動作概要

- 概要

- 動作確認環境

- ログから得られる情報

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

- 接続先

イベントログ

レジストリエントリ

- 詳細情報

- 接続元

イベントログ

Prefetch

MFT

USNジャーナル

- 接続先

イベントログ

レジストリエントリ

Prefetch

MFT

USNジャーナル

- パケット

- 備考