PWDumpX

項目	接続元	接続先
OS	Windows
通信プロトコル	135/tcp, 445/tcp
ドメインへの所属	不要
権限	標準ユーザー	管理者ユーザー

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-Sysmon/Operational	1	Process Create (rule: ProcessCreate)	Process Create. UtcTime: プロセス実行日時 (UTC) ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス) CommandLine: 実行コマンドのコマンドライン (コマンドライン。接続先ホスト、及び使用されたアカウント・パスワードが確認可能) User: 実行ユーザー
2	Microsoft-Windows-Sysmon/Operational	3	Network connection detected (rule: NetworkConnect)	Network connection detected. ProcessGuid/ProcessId: プロセスID (4) Image: 実行ファイルのパス (検体のパス) User: 実行ユーザー (NT AUTHORITY\SYSTEM) Protocol: プロトコル (tcp) SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (接続元) DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (接続先ポート445)
3	Microsoft-Windows-Sysmon/Operational	3	Network connection detected (rule: NetworkConnect)	Network connection detected. ProcessGuid/ProcessId: プロセスID (4) Image: 実行ファイルのパス (検体のパス) User: 実行ユーザー (検体を実行したアカウント名) Protocol: プロトコル (tcp) SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (接続元) DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (接続先ポート135)
4	Microsoft-Windows-Sysmon/Operational	3	Network connection detected (rule: NetworkConnect)	Network connection detected. ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス) User: 実行ユーザー Protocol: プロトコル (tcp) SourceIp/SourceHostname/SourcePort: 送信元IPアドレス/ホスト名/ポート番号 (接続元) DestinationIp/DestinationHostname/DestinationPort: 宛先IPアドレス/ホスト名/ポート番号 (接続先ハイポート)
5	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインオブジェクト > オブジェクト名: 対象のファイル名 ([カレントディレクトリ]\[接続先]-PWHashes.txt) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile)
6	セキュリティ	4689	プロセス終了	プロセスが終了しました。ログの日時: プロセス終了日時 (ローカル時刻) サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインプロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス) プロセス情報 > 終了状態: プロセスの戻り値 (0x0)

#	ファイル名	処理
1	[接続先]-PWHashes.txt	BASIC_INFO_CHANGE+DATA_EXTEND+DATA_OVERWRITE

#	ログ	イベントID	タスクのカテゴリ	イベント内容
1	セキュリティ	5156	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、接続が許可されました。ネットワーク情報 > 方向: 通信方向 (着信) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス) ネットワーク情報 > ソースポート: 送信元ポート番号 (445) ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先IPアドレス) ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート) ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
2	セキュリティ	5156	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、接続が許可されました。ネットワーク情報 > 方向: 通信方向 (着信) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス) ネットワーク情報 > ソースポート: 送信元ポート番号 (135) ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先IPアドレス) ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート) ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
3	セキュリティ	5156	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、接続が許可されました。ネットワーク情報 > 方向: 通信方向 (着信) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス) ネットワーク情報 > ソースポート: 送信元ポート番号 (ハイポート) ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先IPアドレス) ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート) ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
4	セキュリティ	5145	詳細なファイル共有	サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス) 共有情報 > 共有名: 共有名 (\\*\ADMIN$) 共有情報 > 共有パス: 共有のパス (\??\C:\Windows) 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (system32\[DumpSvc.exe, DumpExt.dll]) アクセス要求情報 > アクセス: 要求された権限 (WriteDataまたはAddFile, DELETEを含む)
5	システム	7036	Service Control Manager	[サービス名] サービスは [状態] に移行しました。サービス名: 対象のサービス名 (PWDumpX Service) 状態: 移行後の状態 (実行中)
6	Microsoft-Windows-Sysmon/Operational	10	Process accessed (rule: ProcessAccess)	Process accessed. SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID SourceImage: アクセス元プロセスのパス (C:\Windows\system32\DumpSvc.exe) TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID TargetImage: アクセス先プロセスのパス (C:\Windows\system32\lsass.exe など) GrantedAccess: 許可されたアクセスの内容 (0x1410, 0x1F1FFF)
7	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$) サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメイン (端末の所属ドメイン) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\[PWHashes.txt, PWHashes.txt.Obfuscated]) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile, AppendData)
8	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$) サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメイン (端末の所属ドメイン) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\PWHashes.txt.Obfuscated) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (DELETE)
9	セキュリティ	4689	プロセス終了	プロセスが終了しました。ログの日時: プロセス終了日時 (ローカル時刻) サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$) サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメイン (端末の所属ドメイン) プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\DumpSvc.exe) プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
10	システム	7036	Service Control Manager	[サービス名] サービスは [状態] に移行しました。サービス名: 対象のサービス名 (PWDumpX Service) 状態: 移行後の状態 (停止)
11	セキュリティ	5145	詳細なファイル共有	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス) 共有情報 > 共有名: 共有名 (\\*\ADMIN$) 共有情報 > 共有パス: 共有のパス (\??\C:\Windows) 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (system32\PWHashes.txt) アクセス要求情報 > アクセス: 要求された権限 (ReadDataまたはListDirectory、ReadEA、ReadAttributesを含む)
12	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\[PWHashes.txt, DumpExt.dll, DumpSvc.exe]) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (DELETE)

#	ファイル名	処理
1	PWHashes.txt.Obfuscated	CLOSE+FILE_DELETE
2	PWHashes.txt	CLOSE+FILE_DELETE
3	DumpExt.dll	CLOSE+FILE_DELETE
4	DumpSvc.exe	CLOSE+FILE_DELETE

- イベントログ

#	イベントログ	イベントID	タスクのカテゴリ	イベント内容
1	Microsoft-Windows-Sysmon/Operational	1	Process Create (rule: ProcessCreate)	Process Create. UtcTime: プロセス実行日時 (UTC) ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス) CommandLine: 実行コマンドのコマンドライン (コマンドライン。接続先ホスト、及び使用されたアカウント・パスワードが確認可能) CurrentDirectory: 作業ディレクトリ User: 実行ユーザー LogonGuid/LogonId: ログオンセッションのID IntegrityLevel: 特権レベル (High) Hashes: 実行ファイルのハッシュ値 ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID ParentImage: 親プロセスの実行ファイル ParentCommandLine: 親プロセスのコマンドライン
1	セキュリティ	4688	プロセス作成	新しいプロセスが作成されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID プロセス情報 > 新しいプロセスID: プロセスID (16進数) プロセス情報 > 新しいプロセス名: 実行ファイルのパス (検体のパス) プロセス情報 > トークン昇格の種類: 権限昇格の有無 (2) プロセス情報 > 必須ラベル: 権限昇格の要否 (Mandatory Label\High Mandatory Level) プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイタープロセスID」プロセス情報 > 作成元プロセス名: 新プロセスを作成した親プロセスのパスログの日時: プロセス実行日時 (ローカル時刻)
2	Microsoft-Windows-Sysmon/Operational	3	Network connection detected (rule: NetworkConnect)	Network connection detected. ProcessGuid/ProcessId: プロセスID (4) Image: 実行ファイルのパス (検体のパス) User: 実行ユーザー (NT AUTHORITY\SYSTEM) Protocol: プロトコル (tcp) SourceIp: 送信元IPアドレス (接続元IPアドレス) SourceHostname: 送信元ホスト名 (接続元ホスト名) SourcePort: 送信元ポート番号 (ハイポート) DestinationIp: 宛先IPアドレス (接続先IPアドレス) DestinationHostname: 宛先ホスト名 (接続先ホスト名) DestinationPort: 宛先ポート番号 (445)
	セキュリティ	5158	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセスID: プロセスID (4) アプリケーション情報 > アプリケーション名: 実行プロセス (System) ネットワーク情報 > ソースポート: バインドしたローカルポート (ハイポート) ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
	セキュリティ	5156	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセスID: プロセスID (4) アプリケーション情報 > アプリケーション名: 実行プロセス (System) ネットワーク情報 > 方向: 通信方向 (送信) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホストのIPアドレス) ネットワーク情報 > ソースポート: 送信元ポート番号 (ハイポート) ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (ターゲットのIPアドレス) ネットワーク情報 > 宛先ポート: 宛先ポート番号 (445) ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
3	セキュリティ	4648	ログオン	明示的な資格情報を使用してログオンが試行された。サブジェクト > セキュリティID: 実行したユーザーSID サブジェクト > アカウント名: 実行したアカウント名 (検体を実行したアカウント名) サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメインサブジェクト > ログオンID/ログオンGUID: 認証を実行したユーザーのセッションID 資格情報が使用されたアカウント > アカウント名: 指定されたアカウント名 (検体実行時にオプションで指定されたアカウント名) 資格情報が使用されたアカウント > アカウントドメイン: 指定されたアカウントの所属ドメイン (指定されたアカウントのドメイン、又は接続先のホスト名/IPアドレス) ターゲットサーバー > ターゲットサーバー名: ログオン先ホスト名 (ログオン先ホストのFQDN)
4	Microsoft-Windows-Sysmon/Operational	3	Network connection detected (rule: NetworkConnect)	Network connection detected. ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス) User: 実行ユーザー (検体を実行したアカウント名) Protocol: プロトコル (tcp) SourceIp: 送信元IPアドレス (接続元IPアドレス) SourceHostname: 送信元ホスト名 (接続元ホスト名) SourcePort: 送信元ポート番号 (ハイポート) DestinationIp: 宛先IPアドレス (接続先IPアドレス) DestinationHostname: 宛先ホスト名 (接続先ホスト名) DestinationPort: 宛先ポート番号 (135)
	セキュリティ	5158	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセスID: プロセスID アプリケーション情報 > アプリケーション名: 実行プロセス (検体のパス) ネットワーク情報 > ソースポート: バインドしたローカルポート (ハイポート) ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
	セキュリティ	5156	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセスID: プロセスID アプリケーション情報 > アプリケーション名: 実行プロセス (検体のパス) ネットワーク情報 > 方向: 通信方向 (送信) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト) ネットワーク情報 > ソースポート: 送信元ポート番号 (ハイポート) ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト) ネットワーク情報 > 宛先ポート: 宛先ポート番号 (135) ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
5	Microsoft-Windows-Sysmon/Operational	3	Network connection detected (rule: NetworkConnect)	Network connection detected. ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス) User: 実行ユーザー Protocol: プロトコル (tcp) SourceIp: 送信元IPアドレス (接続元IPアドレス) SourceHostname: 送信元ホスト名 (接続元ホスト名) SourcePort: 送信元ポート番号 (ハイポート) DestinationIp: 宛先IPアドレス (接続先IPアドレス) DestinationHostname: 宛先ホスト名 (接続先ホスト名) DestinationPort: 宛先ポート番号 (ハイポート)
	セキュリティ	5158	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、ローカルポートへのバインドが許可されました。アプリケーション情報 > プロセスID: プロセスID アプリケーション情報 > アプリケーション名: 実行プロセス (検体のパス) ネットワーク情報 > ソースポート: バインドしたローカルポート (ハイポート) ネットワーク情報 > プロトコル: 使用したプロトコル (6=TCP)
	セキュリティ	5156	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセスID: プロセスID アプリケーション情報 > アプリケーション名: 実行プロセス (検体のパス) ネットワーク情報 > 方向: 通信方向 (送信) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元ホスト) ネットワーク情報 > ソースポート: 送信元ポート番号 (ハイポート) ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先ホスト) ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート) ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
6	Microsoft-Windows-Sysmon/Operational	11	File created (rule: FileCreate)	File created. ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス) TargetFilename: 作成されたファイル ([カレントディレクトリ]\[接続先]-PWHashes.txt) CreationUtcTime: ファイル作成日時 (UTC)
	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (実行ユーザー) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 ([カレントディレクトリ]\[接続先]-PWHashes.txt) オブジェクト > ハンドルID: 当該ハンドルの識別ID プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 ([カレントディレクトリ]\[接続先]-PWHashes.txt) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile) 成功の監査: 成否 (アクセス成功)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 ([カレントディレクトリ]\[接続先]-PWHashes.txt) オブジェクト > ハンドルID: 当該ハンドルの識別ID プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteAttributesを含む)
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 ([カレントディレクトリ]\[接続先]-PWHashes.txt) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteAttributes) 成功の監査: 成否 (アクセス成功)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
7	Microsoft-Windows-Sysmon/Operational	11	File created (rule: FileCreate)	File created. ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス) TargetFilename: 作成されたファイル ([カレントディレクトリ]\[接続先]-PWHashes.txt.Obfuscated) CreationUtcTime: ファイル作成日時 (UTC)
	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 ([カレントディレクトリ]\[接続先]-PWHashes.txt.Obfuscated) オブジェクト > ハンドルID: 当該ハンドルの識別ID プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 ([カレントディレクトリ]\[接続先]-PWHashes.txt.Obfuscated) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile) 成功の監査: 成否 (アクセス成功)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
8	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (実行ユーザー) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 ([カレントディレクトリ]\[接続先]-PWHashes.txt) オブジェクト > ハンドルID: 当該ハンドルの識別ID プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WRITE_DACを含む)
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 ([カレントディレクトリ]\[接続先]-PWHashes.txt) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WRITE_DAC) 成功の監査: 成否 (アクセス成功)
	セキュリティ	4670	ポリシー変更の承認	オブジェクトのアクセス許可が変更されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 ([カレントディレクトリ]\[接続先]-PWHashes.txt) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス許可の変更 > 元のセキュリティ記述子: 変更前のセキュリティ記述子D:(A;;FA;;;SY)(A;;FA;;;BA)(A;;FA;;;[ユーザーSID]) アクセス許可の変更 > 新しいセキュリティ記述子: 変更後のセキュリティ記述子D:AI(A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1200a9;;;[別ユーザーSID]) 成功の監査: 成否 (変更成功)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
9	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (実行ユーザー) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 ([カレントディレクトリ]\[接続先]-PWHashes.txt.Obfuscated) オブジェクト > ハンドルID: 当該ハンドルの識別ID プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (DELETEを含む)
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 ([カレントディレクトリ]\[接続先]-PWHashes.txt.Obfuscated) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体のパス) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (DELETE) 成功の監査: 成否 (アクセス成功)
	セキュリティ	4660	ファイルシステム	オブジェクトが削除されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (検体の実行ファイル名)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (検体のパス)
10	セキュリティ	4673	重要な特権の使用	特権のあるサービスが呼び出されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID プロセス > プロセスID: 特権を使用したプロセスのプロセスID プロセス > プロセス名: 特権を使用したプロセス (検体の実行ファイル名) サービス要求情報 > 特権: 使用された特権 (SeTcbPrivilege)
11	Microsoft-Windows-Sysmon/Operational	5	Process terminated (rule: ProcessTerminate)	Process terminated. UtcTime: プロセス終了日時 (UTC) ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (検体のパス)
11	セキュリティ	4689	プロセス終了	プロセスが終了しました。ログの日時: プロセス終了日時 (ローカル時刻) サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: 実行ファイルのパス (検体のパス) プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
12	Microsoft-Windows-Sysmon/Operational	11	File created (rule: FileCreate)	File created. ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (C:\Windows\System32\svchost.exe) TargetFilename: 作成されたファイル (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf) CreationUtcTime: ファイル作成日時 (UTC)
	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf) オブジェクト > ハンドルID: 当該ハンドルの識別ID プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\svchost.exe) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile) 成功の監査: 成否 (アクセス成功)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメインサブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\svchost.exe)

- MFT

#	パス	ヘッダフラグ	有効
1	[ドライブ名]:\[実行時のパス]\[接続先]-PWHashes.txt	FILE	ALLOCATED
2	[ドライブ名]:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf	FILE	ALLOCATED

- Prefetch

#	Prefetchファイル	プロセス名	プロセスパス	ログから得られる情報
1	C:\Windows\Prefetch\[検体の実行ファイル名]-[文字列].pf	[検体の実行ファイル名]	\VOLUME{[GUID]}\[検体のパス]	Last Run Time (最終実行日時)

- USNジャーナル

#	ファイル名	処理	属性
1	[接続先]-PWHashes.txt	FILE_CREATE	archive
	[接続先]-PWHashes.txt	CLOSE+FILE_CREATE	archive
	[接続先]-PWHashes.txt	DATA_EXTEND	archive
	[接続先]-PWHashes.txt	DATA_EXTEND+DATA_OVERWRITE	archive
	[接続先]-PWHashes.txt	BASIC_INFO_CHANGE+DATA_EXTEND+DATA_OVERWRITE	archive
2	[接続先]-PWHashes.txt.Obfuscated	FILE_CREATE	archive
	[接続先]-PWHashes.txt.Obfuscated	CLOSE+FILE_CREATE	archive
	[接続先]-PWHashes.txt.Obfuscated	DATA_EXTEND	archive
	[接続先]-PWHashes.txt.Obfuscated	CLOSE+DATA_EXTEND	archive
3	[接続先]-PWHashes.txt	DATA_TRUNCATION	archive
	[接続先]-PWHashes.txt	DATA_TRUNCATION+SECURITY_CHANGE	archive
	[接続先]-PWHashes.txt	DATA_EXTEND+DATA_TRUNCATION+SECURITY_CHANGE	archive
	[接続先]-PWHashes.txt	DATA_EXTEND+DATA_OVERWRITE+DATA_TRUNCATION+SECURITY_CHANGE	archive
	[接続先]-PWHashes.txt	CLOSE+DATA_EXTEND+DATA_OVERWRITE+DATA_TRUNCATION+SECURITY_CHANGE	archive
4	[接続先]-PWHashes.txt.Obfuscated	CLOSE+FILE_DELETE	archive
5	[検体の実行ファイル名]-[文字列].pf	FILE_CREATE	archive+not_indexed
	[検体の実行ファイル名]-[文字列].pf	DATA_EXTEND+FILE_CREATE	archive+not_indexed
	[検体の実行ファイル名]-[文字列].pf	CLOSE+DATA_EXTEND+FILE_CREATE	archive+not_indexed

- イベントログ

#	イベントログ	イベントID	タスクのカテゴリ	イベント内容
1	セキュリティ	5156	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセスID: プロセスID (4) アプリケーション情報 > アプリケーション名: 実行プロセス (System) ネットワーク情報 > 方向: 通信方向 (着信) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス) ネットワーク情報 > ソースポート: 送信元ポート番号 (445) ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先IPアドレス) ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート) ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
2	セキュリティ	4776	資格情報の確認	コンピューターがアカウントの資格情報の確認を試行しました。認証パッケージ: 認証に使用されたパッケージ (MICROSOFT_AUTHENTICATION_PACKAGE_V1_0) ログオンアカウント: 使用されたアカウント (接続元で検体実行時に指定したアカウント) ソースワークステーション: アカウントの確認を要求したホスト (接続元ホスト名) エラーコード: 実行結果 (0x0)
	セキュリティ	4672	特殊なログオン	新しいログオンに特権が割り当てられました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID 特権: 割り当てられた特権
	セキュリティ	4624	ログオン	アカウントが正常にログオンしました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (NULL SID) サブジェクト > ログオンID: 認証を実行したユーザーのセッションID (0x0) ログオンの種類: ログオンの経路・方式など (3=ネットワーク) 新しいログオン > セキュリティID/アカウント名/アカウントドメイン: ログオンされたユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) 新しいログオン > ログオンID/ログオンGUID: ログオンされたユーザーのセッションID プロセス情報 > プロセスID: プロセスID (16進数) (0x0) プロセス情報 > プロセス名: 実行ファイルのパス (-) ネットワーク情報 > ワークステーション名: ログオンを要求したホスト名 (接続元ホスト名) ネットワーク情報 > ソースネットワークアドレス: ログオンを要求したIPアドレス (接続元IPアドレス) ネットワーク情報 > ソースポート: 接続元ポート番号 (直前の445/tcpによるイベントID: 5156における"宛先ポート") 詳細な認証情報 > ログオンプロセス: ログオンに使用されたプロセス (NtLmSsp) 詳細な認証情報 > 認証パッケージ: 使用された認証パッケージ (NTLM)
3	セキュリティ	5140	ファイルの共有	ネットワーク共有オブジェクトにアクセスしました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス) ネットワーク情報 > ソースポート: 送信元ポート番号 (直前の445/tcpによるイベントID: 5156における"宛先ポート") 共有情報 > 共有名: 使用された共有名 (\\*\ADMIN$) 共有情報 > 共有パス: 共有のパス (\??\C:\Windows) アクセス要求情報 > アクセス: 要求された権限 (ReadDataまたはListDirectory)
4	Microsoft-Windows-Sysmon/Operational	11	File created (rule: FileCreate)	File created. ProcessGuid/ProcessId: プロセスID (4) Image: 実行ファイルのパス (System) TargetFilename: 作成されたファイル (C:\Windows\System32\DumpSvc.exe) CreationUtcTime: ファイル作成日時 (UTC)
	セキュリティ	5145	詳細なファイル共有	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス) ネットワーク情報 > ソースポート: 送信元ポート番号 (直前の445/tcpによるイベントID: 5156における"宛先ポート") 共有情報 > 共有名: 共有名 (\\*\ADMIN$) 共有情報 > 共有パス: 共有のパス (\??\C:\Windows) 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (system32\DumpSvc.exe) アクセス要求情報 > アクセス: 要求された権限 (WriteDataまたはAddFile, DELETEを含む)
	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\DumpSvc.exe) オブジェクト > ハンドルID: 当該ハンドルの識別ID プロセス情報 > プロセスID: プロセスID (16進数) (0x4) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile, WriteAttributesを含む)
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\DumpSvc.exe) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) (0x4) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile, WriteAttributes) 成功の監査: 成否 (アクセス成功)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) (0x4)
5	Microsoft-Windows-Sysmon/Operational	11	File created (rule: FileCreate)	File created. ProcessGuid/ProcessId: プロセスID (4) Image: 実行ファイルのパス (System) TargetFilename: 作成されたファイル (C:\Windows\System32\DumpExt.dll) CreationUtcTime: ファイル作成日時 (UTC)
	セキュリティ	5145	詳細なファイル共有	クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス) ネットワーク情報 > ソースポート: 送信元ポート番号 (直前の445/tcpによるイベントID: 5156における"宛先ポート") 共有情報 > 共有名: 共有名 (\\*\ADMIN$) 共有情報 > 共有パス: 共有のパス (\??\C:\Windows) 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (system32\DumpExt.dll) アクセス要求情報 > アクセス: 要求された権限 (WriteDataまたはAddFile、DELETEを含む)
	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\DumpExt.dll) オブジェクト > ハンドルID: 当該ハンドルの識別ID プロセス情報 > プロセスID: プロセスID (16進数) (0x4) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile, WriteAttributesを含む)
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\DumpExt.dll) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) (0x4) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile, WriteAttributes) 成功の監査: 成否 (アクセス成功)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) (0x4)
6	セキュリティ	5156	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセスID: プロセスID アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\svchost.exe) ネットワーク情報 > 方向: 通信方向 (着信) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス) ネットワーク情報 > ソースポート: 送信元ポート番号 (135) ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先IPアドレス) ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート) ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
7	セキュリティ	5156	フィルタリングプラットフォームの接続	Windows フィルターリングプラットフォームで、接続が許可されました。アプリケーション情報 > プロセスID: プロセスID アプリケーション情報 > アプリケーション名: 実行プロセス (\device\harddiskvolume2\windows\system32\services.exe) ネットワーク情報 > 方向: 通信方向 (着信) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス) ネットワーク情報 > ソースポート: 送信元ポート番号 (ハイポート) ネットワーク情報 > 宛先アドレス: 宛先IPアドレス (接続先IPアドレス) ネットワーク情報 > 宛先ポート: 宛先ポート番号 (ハイポート) ネットワーク情報 > プロトコル: 使用されたプロトコル (6=TCP)
8	システム	7045	サービスがシステムにインストールされました	サービスがインストールされました。サービス名: サービス一覧に表示される名前 (PWDumpX Service) サービスファイル名: サービス実行ファイル (%windir%\system32\DumpSvc.exe) サービスの種類: 実行されるサービスの種類 (ユーザーモードサービス) サービス開始の種類: サービスを開始するトリガの動作 (要求による開始) サービスアカウント: 実行するアカウント (LocalSystem)
	システム	7036	Service Control Manager	[サービス名] サービスは [状態] に移行しました。サービス名: 対象のサービス名 (PWDumpX Service) 状態: 移行後の状態 (実行中)
	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted (rule: RegistryEvent)	Registry object added or deleted. EventType: 処理の種類 (CreateKey) Image: 実行ファイルのパス (C:\Windows\system32\services.exe) ProcessGuid/ProcessId: プロセスID TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX)
	Microsoft-Windows-Sysmon/Operational	13	Registry value set (rule: RegistryEvent)	Registry value set. EventType: 処理の種類 (SetValue) Image: 実行ファイルのパス (C:\Windows\system32\services.exe) ProcessGuid/ProcessId: プロセスID TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX\Type) Details: レジストリに書き込まれた設定値 (DWORD:0x00000010)
	Microsoft-Windows-Sysmon/Operational	13	Registry value set (rule: RegistryEvent)	Registry value set. EventType: 処理の種類 (SetValue) Image: 実行ファイルのパス (C:\Windows\system32\services.exe) ProcessGuid/ProcessId: プロセスID TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX\Start) Details: レジストリに書き込まれた設定値 (DWORD:0x00000003)
	Microsoft-Windows-Sysmon/Operational	13	Registry value set (rule: RegistryEvent)	Registry value set. EventType: 処理の種類 (SetValue) Image: 実行ファイルのパス (C:\Windows\system32\services.exe) ProcessGuid/ProcessId: プロセスID TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX\ErrorControl) Details: レジストリに書き込まれた設定値 (DWORD:0x00000000)
	Microsoft-Windows-Sysmon/Operational	13	Registry value set (rule: RegistryEvent)	Registry value set. EventType: 処理の種類 (SetValue) Image: 実行ファイルのパス (C:\Windows\system32\services.exe) ProcessGuid/ProcessId: プロセスID TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX\ImagePath) Details: レジストリに書き込まれた設定値 (%windir%\system32\DumpSvc.exe)
	Microsoft-Windows-Sysmon/Operational	13	Registry value set (rule: RegistryEvent)	Registry value set. EventType: 処理の種類 (SetValue) Image: 実行ファイルのパス (C:\Windows\system32\services.exe) ProcessGuid/ProcessId: プロセスID TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX\DisplayName) Details: レジストリに書き込まれた設定値 (PWDumpX Service)
	Microsoft-Windows-Sysmon/Operational	13	Registry value set (rule: RegistryEvent)	Registry value set. EventType: 処理の種類 (SetValue) Image: 実行ファイルのパス (C:\Windows\system32\services.exe) ProcessGuid/ProcessId: プロセスID TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX\ObjectName) Details: レジストリに書き込まれた設定値 (LocalSystem)
	セキュリティ	4674	重要な特権の使用	特権のあるオブジェクトで操作が試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトサーバー: 処理を実行したサービス (SC Manager) オブジェクト > オブジェクトの種類: 処理対象オブジェクトの種類 (SC_MANAGER_OBJECT) オブジェクト > オブジェクト名: 処理対象オブジェクトの名前 (ServicesActive) プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\services.exe) 要求された操作 > 特権: 要求された権限 (新しいサービスの作成を含む)
	Microsoft-Windows-Sysmon/Operational	1	Process Create (rule: ProcessCreate)	Process Create. UtcTime: プロセス実行日時 (UTC) ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (C:\Windows\System32\DumpSvc.exe) CommandLine: 実行コマンドのコマンドライン (C:\Windows\system32\DumpSvc.exe) CurrentDirectory: 作業ディレクトリ (C:\Windows\system32) User: 実行ユーザー (NT AUTHORITY\SYSTEM) LogonGuid/LogonId: ログオンセッションのID IntegrityLevel: 特権レベル (System) Hashes: 実行ファイルのハッシュ値 ParentProcessGuid/ParentProcessId: 親プロセスのプロセスID ParentImage: 親プロセスの実行ファイル (C:\Windows\System32\services.exe) ParentCommandLine: 親プロセスのコマンドライン (C:\Windows\System32\services.exe)
	セキュリティ	4688	プロセス作成	新しいプロセスが作成されました。サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$) サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメイン (端末の所属ドメイン) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID プロセス情報 > 新しいプロセスID: プロセスID (16進数) プロセス情報 > 新しいプロセス名: 実行ファイルのパス (C:\Windows\System32\DumpSvc.exe) プロセス情報 > トークン昇格の種類: 権限昇格の有無 (1) プロセス情報 > 作成元プロセスID: 新プロセスを作成した親プロセスのプロセスID。Windows 7では「クリエイタープロセスID」ログの日時: プロセス実行日時 (ローカル時刻)
9	Microsoft-Windows-Sysmon/Operational	10	Process accessed (rule: ProcessAccess)	Process accessed. SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID SourceImage: アクセス元プロセスのパス (C:\Windows\system32\services.exe) TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID TargetImage: アクセス先プロセスのパス (C:\Windows\system32\DumpSvc.exe) GrantedAccess: 許可されたアクセスの内容 (0x1FFFFF, 0x1400)
	Microsoft-Windows-Sysmon/Operational	10	Process accessed (rule: ProcessAccess)	Process accessed. SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID SourceImage: アクセス元プロセスのパス (C:\Windows\system32\DumpSvc.exe) TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID TargetImage: アクセス先プロセスのパス (C:\Windows\system32\smss.exe) GrantedAccess: 許可されたアクセスの内容 (0x1410)
	Microsoft-Windows-Sysmon/Operational	10	Process accessed (rule: ProcessAccess)	Process accessed. SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID SourceImage: アクセス元プロセスのパス (C:\Windows\system32\DumpSvc.exe) TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID TargetImage: アクセス先プロセスのパス (C:\Windows\system32\csrss.exe) GrantedAccess: 許可されたアクセスの内容 (0x1410)
	Microsoft-Windows-Sysmon/Operational	10	Process accessed (rule: ProcessAccess)	Process accessed. SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID SourceImage: アクセス元プロセスのパス (C:\Windows\system32\DumpSvc.exe) TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID TargetImage: アクセス先プロセスのパス (C:\Windows\system32\wininit.exe) GrantedAccess: 許可されたアクセスの内容 (0x1410)
	Microsoft-Windows-Sysmon/Operational	10	Process accessed (rule: ProcessAccess)	Process accessed. SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID SourceImage: アクセス元プロセスのパス (C:\Windows\system32\DumpSvc.exe) TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID TargetImage: アクセス先プロセスのパス (C:\Windows\system32\winlogon.exe) GrantedAccess: 許可されたアクセスの内容 (0x1410)
	Microsoft-Windows-Sysmon/Operational	10	Process accessed (rule: ProcessAccess)	Process accessed. SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID SourceImage: アクセス元プロセスのパス (C:\Windows\system32\DumpSvc.exe) TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID TargetImage: アクセス先プロセスのパス (C:\Windows\system32\services.exe) GrantedAccess: 許可されたアクセスの内容 (0x1410)
	Microsoft-Windows-Sysmon/Operational	10	Process accessed (rule: ProcessAccess)	Process accessed. SourceProcessGUID/SourceProcessId/SourceThreadId: アクセス元プロセスのプロセス/スレッドID SourceImage: アクセス元プロセスのパス (C:\Windows\system32\DumpSvc.exe) TargetProcessGUID/TargetProcessId: アクセス先プロセスのプロセスID TargetImage: アクセス先プロセスのパス (C:\Windows\system32\lsass.exe) GrantedAccess: 許可されたアクセスの内容 (0x1410, 0x1F1FFF)
	Microsoft-Windows-Sysmon/Operational	8	CreateRemoteThread detected (rule: CreateRemoteThread)	CreateRemoteThread detected. UtcTime: 実行日時 (UTC) SourceProcessGuid/SourceProcessId: 作成元プロセスのプロセスID SourceImage: 作成元プロセスのパス (C:\Windows\System32\DumpSvc.exe) TargetProcessGuid/TargetProcessId: 作成先プロセスのプロセスID TargetImage: 作成先プロセスのパス (C:\Windows\System32\lsass.exe) NewThreadId: 新規スレッドのスレッドID
10	Microsoft-Windows-Sysmon/Operational	11	File created (rule: FileCreate)	File created. ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (C:\Windows\system32\lsass.exe) TargetFilename: 作成されたファイル (C:\Windows\System32\PWHashes.txt) CreationUtcTime: ファイル作成日時 (UTC)
	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$) サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメイン (端末の所属ドメイン) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\PWHashes.txt) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$) サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメイン (端末の所属ドメイン) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\PWHashes.txt) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile, AppendData) 成功の監査: 成否 (アクセス成功)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$) サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメイン (端末の所属ドメイン) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\lsass.exe)
11	Microsoft-Windows-Sysmon/Operational	11	File created (rule: FileCreate)	File created. ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (C:\Windows\system32\lsass.exe) TargetFilename: 作成されたファイル (C:\Windows\System32\PWHashes.txt.Obfuscated) CreationUtcTime: ファイル作成日時 (UTC)
	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$) サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメイン (端末の所属ドメイン) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\PWHashes.txt.Obfuscated) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile, AppendDataを含む)
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$) サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメイン (端末の所属ドメイン) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\PWHashes.txt.Obfuscated) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (WriteDataまたはAddFile, AppendData) 成功の監査: 成否 (アクセス成功)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$) サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメイン (端末の所属ドメイン) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\lsass.exe)
12	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$) サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメイン (端末の所属ドメイン) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\PWHashes.txt.Obfuscated) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (DELETE)
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$) サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメイン (端末の所属ドメイン) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\PWHashes.txt.Obfuscated) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (DELETE) 成功の監査: 成否 (アクセス成功)
	セキュリティ	4660	ファイルシステム	オブジェクトが削除されました。サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$) サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメイン (端末の所属ドメイン) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: ハンドルを閉じたプロセス名 (C:\Windows\System32\lsass.exe)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$) サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメイン (端末の所属ドメイン) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: オブジェクトを要求したプロセス名 (C:\Windows\System32\lsass.exe)
13	Microsoft-Windows-Sysmon/Operational	5	Process terminated (rule: ProcessTerminate)	Process terminated. UtcTime: プロセス終了日時 (UTC) ProcessGuid/ProcessId: プロセスID Image: 実行ファイルのパス (C:\Windows\System32\DumpSvc.exe)
13	セキュリティ	4689	プロセス終了	プロセスが終了しました。ログの日時: プロセス終了日時 (ローカル時刻) サブジェクト > セキュリティID: 実行したユーザーSID (SYSTEM) サブジェクト > アカウント名: 実行したアカウント名 ([ホスト名]$) サブジェクト > アカウントドメイン: 実行したアカウントの所属ドメイン (端末の所属ドメイン) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID プロセス情報 > プロセスID: プロセスID (16進数) プロセス情報 > プロセス名: 実行ファイルのパス (C:\Windows\System32\DumpSvc.exe) プロセス情報 > 終了状態: プロセスの戻り値 (0x0)
14	Microsoft-Windows-Sysmon/Operational	3	Network connection detected (rule: NetworkConnect)	Network connection detected. ProcessGuid/ProcessId: プロセスID (4) Image: 実行ファイルのパス (System) User: 実行ユーザー (NT AUTHORITY\SYSTEM) Protocol: プロトコル (tcp) SourceIp: 送信元IPアドレス (接続先IPアドレス) SourceHostname: 送信元ホスト名 (接続先ホスト名) SourcePort: 送信元ポート番号 (445) DestinationIp: 宛先IPアドレス (接続元IPアドレス) DestinationHostname: 宛先ホスト名 (接続元ホスト名) DestinationPort: 宛先ポート番号 (ハイポート)
	Microsoft-Windows-Sysmon/Operational	3	Network connection detected (rule: NetworkConnect)	Network connection detected. ProcessGuid/ProcessId: プロセスID (4) Image: 実行ファイルのパス (System) User: 実行ユーザー (NT AUTHORITY\NETWORK SERVICE) Protocol: プロトコル (tcp) SourceIp: 送信元IPアドレス (接続先IPアドレス) SourceHostname: 送信元ホスト名 (接続先ホスト名) SourcePort: 送信元ポート番号 (135) DestinationIp: 宛先IPアドレス (接続元IPアドレス) DestinationHostname: 宛先ホスト名 (接続元ホスト名) DestinationPort: 宛先ポート番号 (ハイポート)
	Microsoft-Windows-Sysmon/Operational	3	Network connection detected (rule: NetworkConnect)	Network connection detected. ProcessGuid/ProcessId: プロセスID (4) Image: 実行ファイルのパス (System) User: 実行ユーザー (NT AUTHORITY\SYSTEM) Protocol: プロトコル (tcp) SourceIp: 送信元IPアドレス (接続先IPアドレス) SourceHostname: 送信元ホスト名 (接続先ホスト名) SourcePort: 送信元ポート番号 (ハイポート) DestinationIp: 宛先IPアドレス (接続元IPアドレス) DestinationHostname: 宛先ホスト名 (接続元ホスト名) DestinationPort: 宛先ポート番号 (ハイポート)
15	システム	7036	Service Control Manager	[サービス名] サービスは [状態] に移行しました。サービス名: 対象のサービス名 (PWDumpX Service) 状態: 移行後の状態 (停止)
	Microsoft-Windows-Sysmon/Operational	13	Registry value set (rule: RegistryEvent)	Registry value set. EventType: 処理の種類 (SetValue) Image: 実行ファイルのパス (C:\Windows\system32\services.exe) ProcessGuid/ProcessId: プロセスID TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX\DeleteFlag) Details: レジストリに書き込まれた設定値 (DWORD:0x00000001)
	Microsoft-Windows-Sysmon/Operational	13	Registry value set (rule: RegistryEvent)	Registry value set. EventType: 処理の種類 (SetValue) Image: 実行ファイルのパス (C:\Windows\system32\services.exe) ProcessGuid/ProcessId: プロセスID TargetObject: 書き込み先のレジストリ値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX\Start) Details: レジストリに書き込まれた設定値 (DWORD:0x00000004)
	Microsoft-Windows-Sysmon/Operational	12	Registry object added or deleted (rule: RegistryEvent)	Registry object added or deleted. EventType: 処理の種類 (DeleteKey) Image: 実行ファイルのパス (C:\Windows\system32\services.exe) ProcessGuid/ProcessId: プロセスID TargetObject: 作成・削除されたレジストリキー・値 (\REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX)
16	セキュリティ	5145	詳細なファイル共有	サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス) ネットワーク情報 > ソースポート: 送信元ポート番号 (直前の445/tcpによるイベントID: 5156における"宛先ポート") 共有情報 > 共有名: 共有名 (\\*\ADMIN$) 共有情報 > 共有パス: 共有のパス (\??\C:\Windows) 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (system32\PWHashes.txt) アクセス要求情報 > アクセス: 要求された権限 (ReadDataまたはListDirectory、ReadEA、ReadAttributesを含む)
17	セキュリティ	5145	詳細なファイル共有	サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス) ネットワーク情報 > ソースポート: 送信元ポート番号 (直前の445/tcpによるイベントID: 5156における"宛先ポート") 共有情報 > 共有名: 共有名 (\\*\ADMIN$) 共有情報 > 共有パス: 共有のパス (\??\C:\Windows) 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (system32\PWHashes.txt) アクセス要求情報 > アクセス: 要求された権限 (DELETEを含む)
	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\PWHashes.txt) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) (0x4) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (DELETE)
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\PWHashes.txt) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) (0x4) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (DELETE)
	セキュリティ	4660	ファイルシステム	オブジェクトが削除されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) (0x4)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) (0x4)
18	セキュリティ	5145	詳細なファイル共有	サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス) ネットワーク情報 > ソースポート: 送信元ポート番号 (直前の445/tcpによるイベントID: 5156における"宛先ポート") 共有情報 > 共有名: 共有名 (\\*\ADMIN$) 共有情報 > 共有パス: 共有のパス (\??\C:\Windows) 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (system32\DumpExt.dll) アクセス要求情報 > アクセス: 要求された権限 (DELETEを含む)
	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\DumpExt.dll) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) (0x4) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (DELETE)
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\DumpExt.dll) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) (0x4) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (DELETE)
	セキュリティ	4660	ファイルシステム	オブジェクトが削除されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) (0x4)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) (0x4)
19	セキュリティ	5145	詳細なファイル共有	サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID ネットワーク情報 > オブジェクトの種類: 作成されたオブジェクトの種類 (File) ネットワーク情報 > 送信元アドレス: 送信元IPアドレス (接続元IPアドレス) ネットワーク情報 > ソースポート: 送信元ポート番号 (直前の445/tcpによるイベントID: 5156における"宛先ポート") 共有情報 > 共有名: 共有名 (\\*\ADMIN$) 共有情報 > 共有パス: 共有のパス (\??\C:\Windows) 共有情報 > 相対ターゲット名: 共有パスからの相対ターゲット名 (system32\DumpSvc.exe) アクセス要求情報 > アクセス: 要求された権限 (DELETEを含む)
	セキュリティ	4656	ファイルシステム / その他のオブジェクトアクセスイベント	オブジェクトに対するハンドルが要求されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: ファイルの種類 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\DumpSvc.exe) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) (0x4) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (DELETE)
	セキュリティ	4663	ファイルシステム	オブジェクトへのアクセスが試行されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > オブジェクトの種類: 対象の区分 (File) オブジェクト > オブジェクト名: 対象のファイル名 (C:\Windows\System32\DumpSvc.exe) オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) (0x4) アクセス要求情報 > アクセス/アクセス理由/アクセスマスク: 要求された権限 (DELETE)
	セキュリティ	4660	ファイルシステム	オブジェクトが削除されました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) (0x4)
	セキュリティ	4658	ファイルシステム	オブジェクトに対するハンドルが閉じました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: プロセスを実行したユーザーのセッションID オブジェクト > ハンドルID: 当該ハンドルの識別ID (直前のイベントID: 4656で取得されたハンドル) プロセス情報 > プロセスID: プロセスID (16進数) (0x4)
20	セキュリティ	4634	ログオフ	アカウントがログオフしました。サブジェクト > セキュリティID/アカウント名/アカウントドメイン: 実行したユーザーSID/アカウント名/ドメイン (接続元で検体実行時に指定したアカウント) サブジェクト > ログオンID: 認証を実行したユーザーのセッションID (先のイベントID: 4624で記録されたログオンID) ログオンタイプ: ログオンの経路・方式など (3=ネットワーク)

- USNジャーナル

#	ファイル名	処理	属性
1	DumpSvc.exe	FILE_CREATE	archive
	DumpSvc.exe	FILE_CREATE+SECURITY_CHANGE	archive
	DumpSvc.exe	DATA_EXTEND+FILE_CREATE+SECURITY_CHANGE	archive
	DumpSvc.exe	DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE+SECURITY_CHANGE	archive
	DumpSvc.exe	BASIC_INFO_CHANGE+DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE+SECURITY_CHANGE	archive
	DumpSvc.exe	BASIC_INFO_CHANGE+DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE+SECURITY_CHANGE	archive
2	DumpExt.dll	FILE_CREATE	archive
	DumpExt.dll	FILE_CREATE+SECURITY_CHANGE	archive
	DumpExt.dll	DATA_EXTEND+FILE_CREATE+SECURITY_CHANGE	archive
	DumpExt.dll	DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE+SECURITY_CHANGE	archive
	DumpExt.dll	BASIC_INFO_CHANGE+DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE+SECURITY_CHANGE	archive
	DumpExt.dll	BASIC_INFO_CHANGE+CLOSE+DATA_EXTEND+DATA_OVERWRITE+FILE_CREATE+SECURITY_CHANGE	archive
3	PWHashes.txt	FILE_CREATE	archive
	PWHashes.txt	CLOSE+FILE_CREATE	archive
	PWHashes.txt	DATA_EXTEND	archive
	PWHashes.txt	CLOSE+DATA_EXTEND	archive
4	PWHashes.txt.Obfuscated	FILE_CREATE	archive
	PWHashes.txt.Obfuscated	CLOSE+FILE_CREATE	archive
	PWHashes.txt.Obfuscated	DATA_EXTEND	archive
	PWHashes.txt.Obfuscated	CLOSE+DATA_EXTEND	archive
5	PWHashes.txt	DATA_TRUNCATION	archive
	PWHashes.txt	CLOSE+DATA_TRUNCATION	archive
	PWHashes.txt	DATA_EXTEND	archive
	PWHashes.txt	DATA_EXTEND+DATA_OVERWRITE	archive
	PWHashes.txt	CLOSE+DATA_EXTEND+DATA_OVERWRITE	archive
6	PWHashes.txt.Obfuscated	CLOSE+FILE_DELETE	archive
7	PWHashes.txt	CLOSE+FILE_DELETE	archive
8	DumpExt.dll	CLOSE+FILE_DELETE	archive
9	DumpSvc.exe	CLOSE+FILE_DELETE	archive

#	処理	送信元ホスト	送信元ポート番号	宛先ホスト	宛先ポート番号	プロトコル/アプリケーション
1	Session Setup Request, NTLMSSP_AUTH, User: [ユーザー名]	[接続元]	[ハイポート]	[接続先]	445	SMB2
1	Session Setup Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
2	Tree Connect Request Tree: \\[ターゲットのNetBIOS名]\ADMIN$	[接続元]	[ハイポート]	[接続先]	445	SMB2
3	Create Request File: DumpSvc.exe	[接続元]	[ハイポート]	[接続先]	445	SMB2
	Create Response File: DumpSvc.exe	[接続先]	445	[接続元]	[ハイポート]	SMB2
	GetInfo Request FS_INFO/FileFsVolumeInformation File: system32\DumpSvc.exe;GetInfo Request FS_INFO/FileFsAttributeInformation File: system32\DumpSvc.exe	[接続元]	[ハイポート]	[接続先]	445	SMB2
	GetInfo Response;GetInfo Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	Create Request File: system32	[接続元]	[ハイポート]	[接続先]	445	SMB2
	Create Response File: system32	[接続先]	445	[接続元]	[ハイポート]	SMB2
	Close Request File: system32	[接続先]	[ハイポート]	[接続元]	445	SMB2
	Close Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	GetInfo Request SEC_INFO/SMB2_SEC_INFO_00 File: system32\DumpSvc.exe	[接続元]	[ハイポート]	[接続先]	445	SMB2
	GetInfo Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	SetInfo Request SEC_INFO/SMB2_SEC_INFO_00 File: system32\DumpSvc.exe	[接続元]	[ハイポート]	[接続先]	445	SMB2
	SetInfo Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	SetInfo Request FILE_INFO/SMB2_FILE_ENDOFFILE_INFO File: system32\DumpSvc.exe	[接続元]	[ハイポート]	[接続先]	445	SMB2
	SetInfo Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	Write Request Len:59871 Off:0 File: system32\DumpSvc.exe	[接続元]	[ハイポート]	[接続先]	445	SMB2
	Write Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	SetInfo Request FILE_INFO/SMB2_FILE_BASIC_INFO File: system32\DumpSvc.exe	[接続元]	[ハイポート]	[接続先]	445	SMB2
	SetInfo Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	GetInfo Request FILE_INFO/SMB2_NETWORK_OPEN_INFO File: system32\DumpSvc.exe	[接続元]	[ハイポート]	[接続先]	445	SMB2
	GetInfo Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
4	Create Request File: system32\DumpExt.dll	[接続元]	[ハイポート]	[接続先]	445	SMB2
	Create Response File: system32\DumpExt.dll	[接続先]	445	[接続元]	[ハイポート]	SMB2
	Create Request File: system32	[接続元]	[ハイポート]	[接続先]	445	SMB2
	Create Response File: system32	[接続先]	445	[接続元]	[ハイポート]	SMB2
	Close Request File: system32	[接続先]	[ハイポート]	[接続元]	445	SMB2
	Close Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	GetInfo Request SEC_INFO/SMB2_SEC_INFO_00 File: system32\DumpExt.dll	[接続元]	[ハイポート]	[接続先]	445	SMB2
	GetInfo Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	SetInfo Request SEC_INFO/SMB2_SEC_INFO_00 File: system32\DumpExt.dll	[接続元]	[ハイポート]	[接続先]	445	SMB2
	SetInfo Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	SetInfo Request FILE_INFO/SMB2_FILE_ENDOFFILE_INFO File: system32\DumpExt.dll	[接続元]	[ハイポート]	[接続先]	445	SMB2
	SetInfo Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	Write Request Len:65536 Off:0 File: system32\DumpExt.dll	[接続元]	[ハイポート]	[接続先]	445	SMB2
	Write Request Len:2569 Off:65536 File: system32\DumpExt.dll	[接続元]	[ハイポート]	[接続先]	445	SMB2
	Write Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	SetInfo Request FILE_INFO/SMB2_FILE_BASIC_INFO File: system32\DumpExt.dll	[接続元]	[ハイポート]	[接続先]	445	SMB2
	SetInfo Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	GetInfo Request FILE_INFO/SMB2_NETWORK_OPEN_INFO File: system32\DumpExt.dll	[接続元]	[ハイポート]	[接続先]	445	SMB2
	GetInfo Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
5	Close Request File: system32\DumpSvc.exe	[接続元]	[ハイポート]	[接続先]	445	SMB2
5	Close Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
6	Close Request File: system32\DumpExt.dll	[接続元]	[ハイポート]	[接続先]	445	SMB2
6	Close Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
7	Create Request File: system32\PWHashes.txt	[接続元]	[ハイポート]	[接続先]	445	SMB2
	Create Response File: system32\PWHashes.txt	[接続先]	445	[接続元]	[ハイポート]	SMB2
	GetInfo Request FILE_INFO/SMB2_FILE_EA_INFO File: system32\PWHashes.txt;GetInfo Request FILE_INFO/SMB2_FILE_STREAM_INFO File: system32\PWHashes.txt;GetInfo Request SEC_INFO/SMB2_SEC_INFO_00 File: system32\PWHashes.txt	[接続元]	[ハイポート]	[接続先]	445	SMB2
	GetInfo Response;GetInfo Response;GetInfo Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	Read Request Len:251 Off:0 File: system32\PWHashes.txt	[接続元]	[ハイポート]	[接続先]	445	SMB2
	Read Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	Create Request File: system32\PWHashes.txt	[接続元]	[ハイポート]	[接続先]	445	SMB2
	Create Response File: system32\PWHashes.txt	[接続先]	445	[接続元]	[ハイポート]	SMB2
	SetInfo Request FILE_INFO/SMB2_FILE_DISPOSITION_INFO File: system32\PWHashes.txt	[接続元]	[ハイポート]	[接続先]	445	SMB2
	SetInfo Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	Close Request File: system32\PWHashes.txt	[接続元]	[ハイポート]	[接続先]	445	SMB2
	Close Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	Create Request File: system32\ErrorLog.txt	[接続元]	[ハイポート]	[接続先]	445	SMB2
	Create Response: STATUS_OBJECT_NAME_NOT_FOUND	[接続先]	445	[接続元]	[ハイポート]	SMB2
8	Create Request File: system32\DumpExt.dll	[接続元]	[ハイポート]	[接続先]	445	SMB2
	Create Response File: system32\DumpExt.dll	[接続先]	445	[接続元]	[ハイポート]	SMB2
	SetInfo Request FILE_INFO/SMB2_FILE_DISPOSITION_INFO File: system32\DumpExt.dll	[接続元]	[ハイポート]	[接続先]	445	SMB2
	SetInfo Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	Close Request File: system32\DumpExt.dll	[接続元]	[ハイポート]	[接続先]	445	SMB2
	Close Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
9	Create Request File: system32\DumpSvc.exe	[接続元]	[ハイポート]	[接続先]	445	SMB2
	Create Response File: system32\DumpSvc.exe	[接続先]	445	[接続元]	[ハイポート]	SMB2
	SetInfo Request FILE_INFO/SMB2_FILE_DISPOSITION_INFO File: system32\DumpSvc.exe	[接続元]	[ハイポート]	[接続先]	445	SMB2
	SetInfo Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
	Close Request File: system32\DumpSvc.exe	[接続元]	[ハイポート]	[接続先]	445	SMB2
	Close Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
10	Tree Disconnect Request	[接続元]	[ハイポート]	[接続先]	445	SMB2
10	Tree Disconnect Response	[接続先]	445	[接続元]	[ハイポート]	SMB2
11	Session Logoff Request	[接続元]	[ハイポート]	[接続先]	445	SMB2
11	Session Logoff Response	[接続先]	445	[接続元]	[ハイポート]	SMB2

PWDumpX

- 目次

- ツール概要

- ツール動作概要

- ログから得られる情報

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

MFT

Prefetch

USNジャーナル

- 接続先

イベントログ

USNジャーナル

- 詳細：接続元

- イベントログ

- MFT

- Prefetch

- USNジャーナル

- 詳細：接続先

- イベントログ

- USNジャーナル

- パケットキャプチャ