PWDumpX

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
パスワード、ハッシュ入手
説明
リモートホストからパスワードハッシュを取得する。
攻撃時における想定利用例
取得したハッシュ情報を利用して、他のホストにログオンする。

- ツール動作概要

- 概要

項目 接続元 接続先
通信プロトコル
  • 135/tcp
  • 445/tcp
  • 135/tcp
  • 445/tcp
権限 標準ユーザー 管理者ユーザー
ドメインへの所属 不要 不要
サービス - -
OS Windows Windows
備考 - -

- 動作確認環境

環境 動作可否
Windows 7 + Windows Server 2012 動作する
Windows 10 + Windows Server 2012 動作する
Windows 11 + Windows Server 2025 動作しない

- ログから得られる情報

標準設定
  • 接続元
    • Prefetch: 実行履歴
  • 接続先
    • Prefetch: 実行履歴
    • システム ログ: PWDumpXサービスのインストールおよび実行
追加設定
  • 接続元
    • 監査ポリシー, Sysmon: 実行履歴
    • 監査ポリシー: 結果が記録されるファイル [宛先アドレス]-PWHashes.txt の作成
  • 接続先
    • 監査ポリシー, Sysmon: 実行履歴
    • 監査ポリシー: 接続元から接続先への、PWDumpXサービスの送信および実行およびハッシュ情報を保存するファイルの作成

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
  • CommandLine: [実行ファイルのパス] [コマンドライン]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンID]
  • IntegrityLevel: High
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親実行ファイルのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]
  • ParentUser: [親プロセスの実行ユーザ]
2 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: [接続先ポート番号]
3 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: [接続先ポート番号]
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: [接続先ポート番号]
5 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: [カレントディレクトリ]\[接続先]-PWHashes.txt
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
6 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf [実行ファイル名] \VOLUME{[GUID]}\[実行ファイルのパス] Last Run Time (最終実行日時)

MFT

# パス ヘッダフラグ 備考
1 [ドライブ名]:\[実行時のパス]\[接続先]-PWHashes.txt FILE ALLOCATED

USNジャーナル

# ファイル名 処理 備考
1 [接続先]-PWHashes.txt
  • BASIC_INFO_CHANGE
  • DATA_EXTEND
  • DATA_OVERWRITE

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: 445
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: [接続先ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
2 Security 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: 135
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: [接続先ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
3 Security 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元IPポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: [接続先ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
4 Security 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [送信元ポート番号]
  • 共有情報 > 共有名: \\*\ADMIN$
  • 共有情報 > 共有パス: \??\C:\Windows
  • 共有情報 > 相対ターゲット名: system32\DumpSvc.exe
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, DELETEを含む
5 System 7036 Service Control Manager [param1] サービスは [param2] 状態に移行しました。
  • param1: PWDumpX Service
  • param2: 実行中
6 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • UtcTime: [発生日時(UTC)]
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: [アクセス元プロセスのパス]
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: [アクセス先プロセスのパス]
  • GrantedAccess: [許可されたアクセスの内容]
7 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\PWHashes.txt
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • オブジェクト > リソース属性: WriteDataまたはAddFile, AppendData
8 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\PWHashes.txt.Obfuscated
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • オブジェクト > リソース属性: WriteDataまたはAddFile, AppendData
9 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\PWHashes.txt.Obfuscated
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: DELETE
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • オブジェクト > リソース属性: DELETE
10 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
11 System 7036 Service Control Manager [param1] サービスは [param2] 状態に移行しました。
  • param1: PWDumpX Service
  • param2: 停止
12 Security 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [送信元ポート番号]
  • 共有情報 > 共有名: \\*\ADMIN$
  • 共有情報 > 共有パス: \??\C:\Windows
  • 共有情報 > 相対ターゲット名: System32\PWHashes.txt
  • アクセス要求情報 > アクセス: ReadDataまたはListDirectory、ReadEA、ReadAttributesを含む
13 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\PWHashes.txt
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: DELETE
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
14 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\DumpExt.dll
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: DELETE
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
15 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\DumpSvc.exe
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: DELETE
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]

USNジャーナル

# ファイル名 処理 備考
1 PWHashes.txt.Obfuscated
  • CLOSE
  • FILE_DELETE
 archive
2 PWHashes.txt
  • CLOSE
  • FILE_DELETE
 archive
3 DumpExt.dll
  • CLOSE
  • FILE_DELETE
 archive
4 DumpSvc.exe
  • CLOSE
  • FILE_DELETE
 archive

- 詳細情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
  • CommandLine: [実行ファイルのパス] [コマンドライン]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンID]
  • IntegrityLevel: High
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親実行ファイルのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]
  • ParentUser: [親プロセスの実行ユーザ]
2 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeFull(2)
  • プロセス情報 > プロセスのコマンド ライン: [コマンドライン]
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
  • プロセス情報 > 作成元プロセス名: [プロセス名]
3 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: [接続先ポート番号]
4 Security 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > ソース ポート: [送信元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
5 Security 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元IPポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 445
  • ネットワーク情報 > プロトコル: 6 (TCP)
6 Security 4648 ログオン 明示的な資格情報を使用してログオンが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • LogonGuid: [ユーザーのセッションID]
  • 新しいログオン > アカウント名: [アカウント名]
  • 新しいログオン > アカウント名: [ドメイン名]
  • TargetLogonGuid: [Guid]
  • ターゲット サーバー > ターゲット サーバー名: [サーバ名]
  • ターゲット サーバー > 追加情報: -
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: [プロセス名]
  • オブジェクト情報 > 送信元アドレス: [IPアドレス]
  • ネットワーク情報 > ソース ポート: [ポート番号]
7 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: [接続先ポート番号]
8 Security 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > ソース ポート: [送信元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
9 Security 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元IPポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 135
  • ネットワーク情報 > プロトコル: 6 (TCP)
10 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: [接続先ポート番号]
11 Security 5158 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: System
  • ネットワーク情報 > ソース ポート: [送信元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
12 Security 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元IPポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: [接続先ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
13 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetFilename: [カレントディレクトリ]\[接続先]-PWHashes.txt
  • CreationUtcTime: [ファイル作成日時(UTC)]
  • User: [ドメイン名]\[ユーザー名]
14 Security 4656 ファイル システム オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: [カレントディレクトリ]\[接続先]-PWHashes.txt
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendDataを含む
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
15 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: [カレントディレクトリ]\[接続先]-PWHashes.txt
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
16 Security 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [プロセスID]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
17 Security 4656 ファイル システム オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: [カレントディレクトリ]\[接続先]-PWHashes.txt
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: WriteAttributesを含む
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
18 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: [カレントディレクトリ]\[接続先]-PWHashes.txt
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteAttributes
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
19 Security 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [プロセスID]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
20 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetFilename: [カレントディレクトリ]\[接続先]-PWHashes.txt
  • CreationUtcTime: [ファイル作成日時(UTC)]
  • User: [ドメイン名]\[ユーザー名]
21 Security 4656 ファイル システム オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: [カレントディレクトリ]\[接続先]-PWHashes.txt
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendDataを含む
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
22 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: [カレントディレクトリ]\[接続先]-PWHashes.txt
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
23 Security 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [プロセスID]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
24 Security 4656 ファイル システム オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: [カレントディレクトリ]\[接続先]-PWHashes.txt
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: WRITE_DACを含む
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
25 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: [カレントディレクトリ]\[接続先]-PWHashes.txt
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WRITE_DAC
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
26 Security 4670 Authorization Policy Change オブジェクトのアクセス許可が変更されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: [カレントディレクトリ]\[接続先]-PWHashes.txt
  • アクセス許可の変更 > 元のセキュリティ記述子: [旧セキュリティディスクリプタ]
  • アクセス許可の変更 > 新しいセキュリティ記述子: A;;FA;;;BA)(A;;FA;;;SY)(A;;0x1200a9;;;[別ユーザーSID]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
27 Security 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [プロセスID]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
28 Security 4656 ファイル システム オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: [カレントディレクトリ]\[接続先]-PWHashes.txt
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: DELETEを含む
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
29 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: [カレントディレクトリ]\[接続先]-PWHashes.txt
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: DELETE
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
30 Microsoft-Windows-Security-Auditing 4660 ファイル システム オブジェクトが削除されました。
  • SubjectUserSid: [ユーザーSID]
  • SubjectUserName: [ユーザー名]
  • SubjectDomainName: [ドメイン名]
  • SubjectLogonId: [ログオンID]
  • ObjectServer: Security
  • HandleId: [ハンドルの識別ID]
  • ProcessId: [実行プロセスID]
  • ProcessName: [実行ファイルのパス]
31 Security 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [プロセスID]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
32 Security 4673 Sensitive Privilege Use 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • サービス > サーバー: Security
  • サービス > サービス名: -
  • サービス要求情報 > 特権: SeTcbPrivilege
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
33 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
34 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
35 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\svchost.exe
  • TargetFilename: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]
  • User: [ドメイン名]\[ユーザー名]
36 Security 4656 ファイル システム オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: DELETEを含む
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
37 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
38 Security 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: [プロセスID]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
39 System 7036 Service Control Manager [param1] サービスは [param2] 状態に移行しました。
  • param1: PWDumpX Service
  • param2: 停止

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\[実行ファイル名]-[文字列].pf [実行ファイル名] \VOLUME{[GUID]}\[実行ファイルのパス] Last Run Time (最終実行日時)

MFT

# パス ヘッダフラグ 備考
1 [ドライブ名]:\[実行時のパス]\[接続先]-PWHashes.txt FILE ALLOCATED
2 [ドライブ名]:\Windows\Prefetch\[実行ファイル名]-[文字列].pf FILE ALLOCATED

USNジャーナル

# ファイル名 処理 備考
1 [接続先]-PWHashes.txt
  • FILE_CREATE
 archive
2 [接続先]-PWHashes.txt
  • CLOSE
  • FILE_CREATE
 archive
3 [接続先]-PWHashes.txt
  • DATA_EXTEND
 archive
4 [接続先]-PWHashes.txt
  • DATA_EXTEND+DATA
  • OVERWRITE
 archive
5 [接続先]-PWHashes.txt
  • BASIC_INFO_CHANGE
  • DATA_EXTEND
  • DATA_OVERWRITE
 archive
6 [接続先]-PWHashes.txt.Obfuscated
  • FILE_CREATE
 archive
7 [接続先]-PWHashes.txt.Obfuscated
  • CLOSE
  • FILE_CREATE
 archive
8 [接続先]-PWHashes.txt.Obfuscated
  • DATA_EXTEND
 archive
9 [接続先]-PWHashes.txt.Obfuscated
  • CLOSE+DATA
  • EXTEND
 archive
10 [接続先]-PWHashes.txt
  • DATA_TRUNCATION
 archive
11 [接続先]-PWHashes.txt
  • DATA_TRUNCATION
  • SECURITY_CHANGE
 archive
12 [接続先]-PWHashes.txt
  • DATA_EXTEND
  • DATA_TRUNCATION
  • SECURITY_CHANGE
 archive
13 [接続先]-PWHashes.txt
  • DATA_EXTEND
  • DATA_OVERWRITE
  • DATA_TRUNCATION
  • SECURITY_CHANGE
 archive
14 [接続先]-PWHashes.txt
  • CLOSE
  • DATA_EXTEND
  • DATA_OVERWRITE
  • DATA_TRUNCATION
  • SECURITY_CHANGE
 archive
15 [接続先]-PWHashes.txt.Obfuscated
  • CLOSE
  • FILE_DELETE
 archive
16 [実行ファイル名]-[文字列].pf
  • FILE_CREATE
 archive+not_indexed
17 [実行ファイル名]-[文字列].pf
  • DATA_EXTEND
  • FILE_CREATE
 archive+not_indexed
18 [実行ファイル名]-[文字列].pf
  • CLOSE
  • DATA_EXTEND
  • FILE_CREATE
 archive+not_indexed

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: 445
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: [接続先ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
2 Security 4776 格情報の検証 コンピューターがアカウントの資格情報の確認を試行しました。
  • 認証パッケージ: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
  • ログオン アカウント: [アカウント名]
  • ソース ワークステーション: [接続元ホスト名]
  • エラー コード: 0x0
3 Security 4672 Special Logon 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 特権: [割り当てられた特権]
4 Security 4624 Logon アカウントが正常にログオンしました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 新しいログオン > セキュリティ ID: [ユーザーSID]
  • 新しいログオン > アカウント名: [ユーザー名]
  • 新しいログオン > アカウント名: [ドメイン名名]
  • 新しいログオン > ログオン ID: [ログオンID]
  • ログオン情報 > ログオン タイプ: 3
  • 詳細な認証情報 > ログオン プロセス: -
  • 詳細な認証情報 > 認証パッケージ: NTLM
  • ネットワーク情報 > ソースワークステーション名: [接続元ホスト名]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • 偽装レベル: 偽装
  • ログオン情報 > 昇格されたトークン: True
5 Security 5140 ファイルの共有 ネットワーク共有オブジェクトにアクセスしました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [送信元ポート番号]
  • 共有情報 > 共有名: \\*\ADMIN$
  • 共有情報 > 共有パス: \??\C:\Windows
  • アクセス要求情報 > アクセス: ReadDataまたはListDirectory
6 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: System
  • TargetFilename: C:\Windows\System32\DumpSvc.exe
  • CreationUtcTime: [ファイル作成日時(UTC)]
  • User: [ドメイン名]\[ユーザー名]
7 Security 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [送信元ポート番号]
  • 共有情報 > 共有名: \\*\ADMIN$
  • 共有情報 > 共有パス: \??\C:\Windows
  • 共有情報 > 相対ターゲット名: system32\DumpSvc.exe
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, DELETEを含む
8 Security 4656 ファイル システム オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\DumpSvc.exe
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, WriteAttributesを含む
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
9 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\DumpSvc.exe
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, WriteAttributes
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
10 Security 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: 直前のイベントID: 4656で取得されたハンドル
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
11 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: System
  • TargetFilename: C:\Windows\System32\DumpExt.dll
  • CreationUtcTime: [ファイル作成日時(UTC)]
  • User: [ドメイン名]\[ユーザー名]
12 Security 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [送信元ポート番号]
  • 共有情報 > 共有名: \\*\ADMIN$
  • 共有情報 > 共有パス: \??\C:\Windows
  • 共有情報 > 相対ターゲット名: system32\DumpExt.dll
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile、DELETEを含む
13 Security 4656 (ファイル システム|Kernel Object) オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\DumpExt.dll
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, WriteAttributesを含む
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
14 Security 4663 (ファイル システム|Kernel Object) オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\DumpExt.dll
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, WriteAttributes
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
15 Security 4658 (ファイル システム|Kernel Object) オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: 直前のイベントID: 4656で取得されたハンドル
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
16 Security 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: 135
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: [接続先ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
17 Security 5156 フィルタリング プラットフォームの接続 Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: [実行ファイルのパス]
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元IPポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: [接続先ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
18 System 7045 サービスインストール サービスがインストールされました。
  • SubjectUserSid: [ユーザーSID]
  • SubjectUserName: [ユーザー名]
  • SubjectDomainName: [ドメイン名]
  • SubjectLogonId: [ログオンID]
  • サービス名: PWDumpX Service
  • ServiceFileName: %windir%\system32\DumpSvc.exe
  • サービスの種類: ユーザー モード サービス
  • サービス開始の種類: 要求による開始
  • ServiceAccount: LocalSystem
19 System 7036 Service Control Manager [param1] サービスは [param2] 状態に移行しました。
  • param1: PWDumpX Service
  • param2: 実行中
20 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX
  • User: [ドメイン名]\[ユーザー名]
21 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\system32\services.exe
  • TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX\Type
  • Details: DWORD:0x00000010
  • User: [ドメイン名]\[ユーザー名]
22 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\system32\services.exe
  • TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX\Start
  • Details: DWORD:0x00000003
  • User: [ドメイン名]\[ユーザー名]
23 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\system32\services.exe
  • TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX\ErrorControl
  • Details: DWORD:0x00000000
  • User: [ドメイン名]\[ユーザー名]
24 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\system32\services.exe
  • TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX\ImagePath
  • Details: %windir%\system32\DumpSvc.exe
  • User: [ドメイン名]\[ユーザー名]
25 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\system32\services.exe
  • TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX\DisplayName
  • Details: PWDumpX Service
  • User: [ドメイン名]\[ユーザー名]
26 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\system32\services.exe
  • TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX\ObjectName
  • Details: LocalSystem
  • User: [ドメイン名]\[ユーザー名]
27 Security 4674 重要な特権の使用 特権のあるオブジェクトで操作が試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: SC_MANAGER_OBJECT
  • オブジェクト > オブジェクト名: ServicesActive
  • 要求された操作 > 特権: 新しいサービスの作成 を含む
  • プロセス情報 > プロセス名: [実行ファイル名]
28 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
  • CommandLine: [実行ファイルのパス] [コマンドライン]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンID]
  • IntegrityLevel: System
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親実行ファイルのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]
  • ParentUser: [親プロセスの実行ユーザ]
29 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeDefault(1)
  • プロセス情報 > プロセスのコマンド ライン: C:\Windows\System32\DumpSvc.exe
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
30 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • UtcTime: [発生日時(UTC)]
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: [アクセス元プロセスのパス]
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: [アクセス先プロセスのパス]
  • GrantedAccess: [許可されたアクセスの内容]
31 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • UtcTime: [発生日時(UTC)]
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: [アクセス元プロセスのパス]
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: [アクセス先プロセスのパス]
  • GrantedAccess: [許可されたアクセスの内容]
32 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • UtcTime: [発生日時(UTC)]
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: [アクセス元プロセスのパス]
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: [アクセス先プロセスのパス]
  • GrantedAccess: [許可されたアクセスの内容]
33 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • UtcTime: [発生日時(UTC)]
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: [アクセス元プロセスのパス]
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: [アクセス先プロセスのパス]
  • GrantedAccess: [許可されたアクセスの内容]
34 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • UtcTime: [発生日時(UTC)]
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: [アクセス元プロセスのパス]
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: [アクセス先プロセスのパス]
  • GrantedAccess: [許可されたアクセスの内容]
35 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • UtcTime: [発生日時(UTC)]
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: [アクセス元プロセスのパス]
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: [アクセス先プロセスのパス]
  • GrantedAccess: [許可されたアクセスの内容]
36 Microsoft-Windows-Sysmon/Operational 10 Process accessed Process accessed.
  • UtcTime: [発生日時(UTC)]
  • SourceProcessId: [アクセス元プロセスID]
  • SourceThreadId: [アクセス元スレッドID]
  • SourceImage: [アクセス元プロセスのパス]
  • TargetProcessId: [アクセス先プロセスID]
  • TargetImage: [アクセス先プロセスのパス]
  • GrantedAccess: [許可されたアクセスの内容]
37 Microsoft-Windows-Sysmon/Operational 8 CreateRemoteThread detected CreateRemoteThread detected
  • UtcTime: [発生日時(UTC)]
  • SourceImage: C:\Windows\System32\DumpSvc.exe
  • TargetImage: C:\Windows\System32\lsass.exe
  • SourceUser: [ユーザ名]
  • TargetUser: [ユーザ名]
38 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\system32\lsass.exe
  • TargetFilename: C:\Windows\System32\PWHashes.txt
  • CreationUtcTime: [ファイル作成日時(UTC)]
  • User: [ドメイン名]\[ユーザー名]
39 Security 4656 ファイル システム オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\PWHashes.txt
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendDataを含む
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
40 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\PWHashes.txt
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendData
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • オブジェクト > リソース属性: WriteDataまたはAddFile, AppendData
41 Security 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: 直前のイベントID: 4656で取得されたハンドル
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
42 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\system32\lsass.exe
  • TargetFilename: C:\Windows\System32\PWHashes.txt.Obfuscated
  • CreationUtcTime: [ファイル作成日時(UTC)]
  • User: [ドメイン名]\[ユーザー名]
43 Security 4656 ファイル システム オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\PWHashes.txt.Obfuscated
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendDataを含む
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
44 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\PWHashes.txt.Obfuscated
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • オブジェクト > リソース属性: WriteDataまたはAddFile, AppendData
45 Security 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: 直前のイベントID: 4656で取得されたハンドル
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
46 Security 4656 ファイル システム オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\PWHashes.txt.Obfuscated
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: DELETE
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
47 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\PWHashes.txt.Obfuscated
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: DELETE
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
48 Microsoft-Windows-Security-Auditing 4660 ファイル システム オブジェクトが削除されました。
  • SubjectUserSid: [ユーザーSID]
  • SubjectUserName: [ユーザー名]
  • SubjectDomainName: [ドメイン名]
  • SubjectLogonId: [ログオンID]
  • ObjectServer: Security
  • HandleId: 直前のイベントID: 4656で取得されたハンドル
  • ProcessId: [実行プロセスID]
  • ProcessName: [実行ファイルのパス]
49 Security 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: 直前のイベントID: 4656で取得されたハンドル
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
50 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • User: [ドメイン名]\[ユーザー名]
51 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
52 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: System
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: [接続先ポート番号]
53 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: System
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: [接続先ポート番号]
54 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: System
  • User: [ドメイン名]\[ユーザー名]
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: [接続先ポート番号]
55 System 7036 Service Control Manager [param1] サービスは [param2] 状態に移行しました。
  • param1: PWDumpX Service
  • param2: 停止
56 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\system32\services.exe
  • TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX\DeleteFlag
  • Details: DWORD:0x00000001
  • User: [ドメイン名]\[ユーザー名]
57 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\system32\services.exe
  • TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX\Start
  • Details: DWORD:0x00000004
  • User: [ドメイン名]\[ユーザー名]
58 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: DeleteKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • TargetObject: \REGISTRY\MACHINE\SYSTEM\ControlSet001\services\PWDumpX
  • User: [ドメイン名]\[ユーザー名]
59 Security 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [送信元ポート番号]
  • 共有情報 > 共有名: \\*\ADMIN$
  • 共有情報 > 共有パス: \??\C:\Windows
  • 共有情報 > 相対ターゲット名: System32\PWHashes.txt
  • アクセス要求情報 > アクセス: ReadDataまたはListDirectory、ReadEA、ReadAttributesを含む
60 Security 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [送信元ポート番号]
  • 共有情報 > 共有名: \\*\ADMIN$
  • 共有情報 > 共有パス: \??\C:\Windows
  • 共有情報 > 相対ターゲット名: System32\PWHashes.txt
  • アクセス要求情報 > アクセス: DELETEを含む
61 Security 4656 (ファイル システム|Kernel Object) オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\PWHashes.txt
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: DELETE
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
62 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\PWHashes.txt
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: DELETE
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • オブジェクト > リソース属性: DELETE
63 Microsoft-Windows-Security-Auditing 4660 ファイル システム オブジェクトが削除されました。
  • SubjectUserSid: [ユーザーSID]
  • SubjectUserName: [ユーザー名]
  • SubjectDomainName: [ドメイン名]
  • SubjectLogonId: [ログオンID]
  • ObjectServer: Security
  • HandleId: 直前のイベントID: 4656で取得されたハンドル
  • ProcessId: [実行プロセスID]
  • ProcessName: [実行ファイルのパス]
64 Security 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: 直前のイベントID: 4656で取得されたハンドル
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
65 Security 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [送信元ポート番号]
  • 共有情報 > 共有名: \\*\ADMIN$
  • 共有情報 > 共有パス: \??\C:\Windows
  • 共有情報 > 相対ターゲット名: system32\DumpExt.dll
  • アクセス要求情報 > アクセス: DELETEを含む
66 Security 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [送信元ポート番号]
  • 共有情報 > 共有名: \\*\ADMIN$
  • 共有情報 > 共有パス: \??\C:\Windows
  • 共有情報 > 相対ターゲット名: system32\DumpExt.dll
  • アクセス要求情報 > アクセス: DELETEを含む
67 Security 4656 ファイル システム オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: system32\DumpExt.dll
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: DELETE
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
68 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: system32\DumpExt.dll
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: DELETE
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
69 Microsoft-Windows-Security-Auditing 4660 ファイル システム オブジェクトが削除されました。
  • SubjectUserSid: [ユーザーSID]
  • SubjectUserName: [ユーザー名]
  • SubjectDomainName: [ドメイン名]
  • SubjectLogonId: [ログオンID]
  • ObjectServer: Security
  • HandleId: [ハンドルの識別ID]
  • ProcessId: [実行プロセスID]
  • ProcessName: [実行ファイルのパス]
70 Security 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: 直前のイベントID: 4656で取得されたハンドル
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
71 Security 5145 詳細なファイル共有 クライアントに必要なアクセスを付与できるかどうかについて、ネットワーク共有オブジェクトがチェックされました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト情報 > オブジェクトの種類: File
  • オブジェクト情報 > 送信元アドレス: [接続元IPアドレス]
  • オブジェクト情報 > ソース ポート: [送信元ポート番号]
  • 共有情報 > 共有名: \\*\ADMIN$
  • 共有情報 > 共有パス: \??\C:\Windows
  • 共有情報 > 相対ターゲット名: system32\DumpSvc.exe
  • アクセス要求情報 > アクセス: DELETEを含む
72 Security 4656 ファイル システム オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\DumpSvc.exe
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: DELETE
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
73 Security 4663 ファイル システム オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\DumpSvc.exe
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: DELETE
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
74 Microsoft-Windows-Security-Auditing 4660 ファイル システム オブジェクトが削除されました。
  • SubjectUserSid: [ユーザーSID]
  • SubjectUserName: [ユーザー名]
  • SubjectDomainName: [ドメイン名]
  • SubjectLogonId: [ログオンID]
  • ObjectServer: Security
  • HandleId: [ハンドルの識別ID]
  • ProcessId: [実行プロセスID]
  • ProcessName: [実行ファイルのパス]
75 Security 4658 ファイル システム オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクト サーバー: Security
  • オブジェクト > ハンドル ID: 直前のイベントID: 4656で取得されたハンドル
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
76 Security 4634 ログオフ アカウントがログオフしました。
  • サブジェクト > セキュリティ ID: [ユーザSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > ログオン ID: [イベント4624で記録されたログオンID]
  • ログオン タイプ: 0

USNジャーナル

# ファイル名 処理 備考
1 DumpSvc.exe
  • FILE_CREATE
 archive
2 DumpSvc.exe
  • FILE_CREATE
  • SECURITY_CHANGE
 archive
3 DumpSvc.exe
  • DATA_EXTEND
  • FILE_CREATE
  • SECURITY_CHANGE
 archive
4 DumpSvc.exe
  • DATA_EXTEND
  • DATA_OVERWRITE
  • FILE_CREATE
  • SECURITY_CHANGE
 archive
5 DumpSvc.exe
  • BASIC_INFO_CHANGE
  • DATA_EXTEND
  • DATA_OVERWRITE
  • FILE_CREATE
  • SECURITY_CHANGE
 archive
6 DumpExt.dll
  • FILE_CREATE
 archive
7 DumpExt.dll
  • FILE_CREATE
  • SECURITY_CHANGE
 archive
8 DumpExt.dll
  • DATA_EXTEND
  • FILE_CREATE
  • SECURITY_CHANGE
 archive
9 DumpExt.dll
  • DATA_EXTEND
  • DATA_OVERWRITE
  • FILE_CREATE
  • SECURITY_CHANGE
 archive
10 DumpExt.dll
  • BASIC_INFO_CHANGE
  • DATA_EXTEND
  • DATA_OVERWRITE
  • FILE_CREATE
  • SECURITY_CHANGE
 archive
11 DumpExt.dll
  • BASIC_INFO_CHANGE
  • CLOSE
  • DATA_EXTEND
  • DATA_OVERWRITE
  • FILE_CREATE
  • SECURITY_CHANGE
 archive
12 PWHashes.txt
  • FILE_CREATE
 archive
13 PWHashes.txt
  • CLOSE
  • FILE_CREATE
 archive
14 PWHashes.txt
  • DATA_EXTEND
 archive
15 PWHashes.txt
  • CLOSE
  • DATA_EXTEND
 archive
16 PWHashes.txt.Obfuscated
  • FILE_CREATE
 archive
17 PWHashes.txt.Obfuscated
  • CLOSE
  • FILE_CREATE
 archive
18 PWHashes.txt.Obfuscated
  • DATA_EXTEND
 archive
19 PWHashes.txt.Obfuscated
  • CLOSE
  • DATA_EXTEND
 archive
20 PWHashes.txt
  • DATA_TRUNCATION
 archive
21 PWHashes.txt
  • CLOSE
  • DATA_TRUNCATION
 archive
22 PWHashes.txt
  • DATA_EXTEND
 archive
23 PWHashes.txt
  • DATA_EXTEND
  • DATA_OVERWRITE
 archive
24 PWHashes.txt
  • CLOSE
  • DATA_EXTEND
  • DATA_OVERWRITE
 archive
25 PWHashes.txt.Obfuscated
  • CLOSE
  • FILE_DELETE
 archive
26 PWHashes.txt
  • CLOSE
  • FILE_DELETE
 archive
27 DumpExt.dll
  • CLOSE
  • FILE_DELETE
 archive
28 DumpSvc.exe
  • CLOSE
  • FILE_DELETE
 archive

- パケット

# オペレーション 接続元ホスト 接続元ポート番号 接続先ホスト 接続先ポート プロトコル アプリケーション 備考
1 Session Setup Request, NTLMSSP_AUTH, User: [ユーザー名] [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
2 Session Setup Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
3 Tree Connect Request Tree: \\[ターゲットのNetBIOS名]\ADMIN$ [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
4 Create Request File: DumpSvc.exe [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
5 Create Response File: DumpSvc.exe [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
6 GetInfo Request FS_INFO/FileFsVolumeInformation File: system32\DumpSvc.exe;GetInfo Request FS_INFO/FileFsAttributeInformation File: system32\DumpSvc.exe [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
7 GetInfo Response;GetInfo Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
8 Create Request File: system32 [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
9 Create Response File: system32 [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
10 Close Request File: system32 [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
11 Close Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
12 GetInfo Request SEC_INFO/SMB2_SEC_INFO_00 File: system32\DumpSvc.exe [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
13 GetInfo Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
14 SetInfo Request SEC_INFO/SMB2_SEC_INFO_00 File: system32\DumpSvc.exe [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
15 SetInfo Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
16 SetInfo Request FILE_INFO/SMB2_FILE_ENDOFFILE_INFO File: system32\DumpSvc.exe [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
17 SetInfo Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
18 Write Request Len:59871 Off:0 File: system32\DumpSvc.exe [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
19 Write Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
20 SetInfo Request FILE_INFO/SMB2_FILE_BASIC_INFO File: system32\DumpSvc.exe [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
21 SetInfo Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
22 GetInfo Request FILE_INFO/SMB2_NETWORK_OPEN_INFO File: system32\DumpSvc.exe [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
23 GetInfo Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
24 Create Request File: system32\DumpExt.dll [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
25 Create Response File: system32\DumpExt.dll [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
26 Create Request File: system32 [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
27 Create Response File: system32 [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
28 Close Request File: system32 [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
29 Close Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
30 GetInfo Request SEC_INFO/SMB2_SEC_INFO_00 File: system32\DumpExt.dll [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
31 GetInfo Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
32 SetInfo Request SEC_INFO/SMB2_SEC_INFO_00 File: system32\DumpExt.dll [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
33 SetInfo Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
34 SetInfo Request FILE_INFO/SMB2_FILE_ENDOFFILE_INFO File: system32\DumpExt.dll [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
35 SetInfo Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
36 Write Request Len:65536 Off:0 File: system32\DumpExt.dll [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
37 Write Request Len:2569 Off:65536 File: system32\DumpExt.dll [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
38 Write Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
39 SetInfo Request FILE_INFO/SMB2_FILE_BASIC_INFO File: system32\DumpExt.dll [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
40 SetInfo Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
41 GetInfo Request FILE_INFO/SMB2_NETWORK_OPEN_INFO File: system32\DumpExt.dll [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
42 GetInfo Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
43 Close Request File: system32\DumpSvc.exe [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
44 Close Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
45 Close Request File: system32\DumpExt.dll [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
46 Close Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
47 Create Request File: system32\PWHashes.txt [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
48 Create Response File: system32\PWHashes.txt [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
49 GetInfo Request FILE_INFO/SMB2_FILE_EA_INFO File: system32\PWHashes.txt;GetInfo Request FILE_INFO/SMB2_FILE_STREAM_INFO File: system32\PWHashes.txt;GetInfo Request SEC_INFO/SMB2_SEC_INFO_00 File: system32\PWHashes.txt [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
50 GetInfo Response;GetInfo Response;GetInfo Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
51 Read Request Len:251 Off:0 File: system32\PWHashes.txt [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
52 Read Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
53 Create Request File: system32\PWHashes.txt [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
54 Create Response File: system32\PWHashes.txt [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
55 SetInfo Request FILE_INFO/SMB2_FILE_DISPOSITION_INFO File: system32\PWHashes.txt [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
56 SetInfo Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
57 Close Request File: system32\PWHashes.txt [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
58 Close Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
59 Create Request File: system32\ErrorLog.txt [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
60 Create Response: STATUS_OBJECT_NAME_NOT_FOUND [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
61 Create Request File: system32\DumpExt.dll [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
62 Create Response File: system32\DumpExt.dll [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
63 SetInfo Request FILE_INFO/SMB2_FILE_DISPOSITION_INFO File: system32\DumpExt.dll [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
64 SetInfo Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
65 Close Request File: system32\DumpExt.dll [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
66 Close Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
67 Create Request File: system32\DumpSvc.exe [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
68 Create Response File: system32\DumpSvc.exe [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
69 SetInfo Request FILE_INFO/SMB2_FILE_DISPOSITION_INFO File: system32\DumpSvc.exe [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
70 SetInfo Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
71 Close Request File: system32\DumpSvc.exe [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
72 Close Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
73 Tree Disconnect Request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
74 Tree Disconnect Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2
75 Session Logoff Request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 445 tcp SMB2
76 Session Logoff Response [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続先ポート番号] tcp SMB2