vssadmin

• 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
• 作成元サブジェクト > アカウント名: [ユーザー名]
• 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
• プロセス情報 > 新しいプロセス名: C:\Windows\System32\vssadmin.exe
• プロセス情報 > プロセスのコマンド ライン: vssadmin create shadow /For=C:

CommandLineに実行時のコマンドラインが記録される。ここから操作内容やシャドウコピーを操作されたボリュームが分かる。ここではドライブCのシャドウコピーを作成している。

• UtcTime: [発生日時(UTC)]
• Image: C:\Windows\System32\vssadmin.exe
• CommandLine: vssadmin create shadow /For=C:
• User: [ドメイン名]\[ユーザー名]

CommandLineに実行時のコマンドラインが記録される。ここから操作内容やシャドウコピーを操作されたボリュームが分かる。ここではドライブCのシャドウコピーを作成している。

• 作成元サブジェクト > セキュリティ ID: S-1-5-18
• 作成元サブジェクト > アカウント名: [コンピューターアカウント]
• 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
• プロセス情報 > 新しいプロセス名: C:\Windows\System32\VSSVC.exe
• プロセス情報 > プロセスのコマンド ライン: C:\WINDOWS\system32\vssvc.exe
• プロセス情報 > 作成元プロセス名: C:\Windows\System32\services.exe

• UtcTime: [発生日時(UTC)]
• Image: C:\Windows\System32\VSSVC.exe
• CommandLine: C:\WINDOWS\system32\vssvc.exe
• User: NT AUTHORITY\SYSTEM
• IntegrityLevel: System
• ParentImage: C:\Windows\System32\services.exe
• ParentCommandLine: C:\WINDOWS\system32\services.exe
• ParentUser: NT AUTHORITY\SYSTEM

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• ターゲット アカウント > セキュリティ ID: S-1-0-0
• ターゲット アカウント > アカウント名: [コンピューターアカウント]
• ターゲット アカウント > アカウント ドメイン: [ドメイン名]
• プロセス情報 > プロセス名: C:\Windows\System32\VSSVC.exe
• 有効にされた特権: SeBackupPrivilege
• 無効にされた特権: -

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• ターゲット アカウント > セキュリティ ID: S-1-0-0
• ターゲット アカウント > アカウント名: [コンピューターアカウント]
• ターゲット アカウント > アカウント ドメイン: [ドメイン名]
• プロセス情報 > プロセス名: C:\Windows\System32\VSSVC.exe
• 有効にされた特権: SeRestorePrivilege
• 無効にされた特権: -

• param1: Volume Shadow Copy
• param2: 実行中

• EventType: SetValue
• UtcTime: [発生日時(UTC)]
• Image: C:\WINDOWS\system32\vssvc.exe
• TargetObject: HKLM\System\CurrentControlSet\Services\VSS 配下の複数キー・値
• User: NT AUTHORITY\SYSTEM

• UtcTime: [発生日時(UTC)]
• Image: C:\Windows\System32\VSSVC.exe
• Device: \Device\HarddiskVolume[ボリューム番号]
• User: NT AUTHORITY\SYSTEM

• param1: Microsoft Software Shadow Copy Provider
• param2: 実行中

• EventType: SetValue
• UtcTime: [発生日時(UTC)]
• Image: C:\WINDOWS\system32\vssvc.exe
• TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag\VolSnap 配下のキー・値
• User: NT AUTHORITY\SYSTEM

• EventType: SetValue
• UtcTime: [発生日時(UTC)]
• Image: System
• TargetObject: HKLM\System\CurrentControlSet\Enum\STORAGE\VolumeSnapshot 配下のキー・値
• User: NT AUTHORITY\SYSTEM

• EventType: SetValue
• UtcTime: [発生日時(UTC)]
• Image: System
• TargetObject: HKLM\System\CurrentControlSet\Control\DeviceContainers\{00000000-0000-0000-FFFF-FFFFFFFFFFFF} 配下のキー・値
• User: NT AUTHORITY\SYSTEM

• EventType: SetValue
• UtcTime: [発生日時(UTC)]
• Image: System
• TargetObject: HKLM\System\CurrentControlSet\Control\Class\{533c5b84-ec70-11d2-9505-00c04f79deaf}\0000 配下のキー・値
• User: NT AUTHORITY\SYSTEM

「533c5b84-ec70-11d2-9505-00c04f79deaf」はVolumeSnapshotクラスのGUID。

• EventType: SetValue
• UtcTime: [発生日時(UTC)]
• Image: System
• TargetObject: HKLM\System\CurrentControlSet\Control\DeviceClasses\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\##?#STORAGE#VolumeSnapshot#HarddiskVolumeSnapshot[スナップショット番号]#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\DeviceInstance 配下のキー・値
• User: NT AUTHORITY\SYSTEM

「53f5630d-b6bf-11d0-94f2-00a0c91efb8b」はリムーバルメディアクラスのGUID。

• ドライバー名: volsnap.inf
• クラス GUID: {533C5B84-EC70-11D2-9505-00C04F79DEAF}
• ドライバー プロバイダー: Microsoft
• ドライバー セクション: volume_snapshot_install.NTamd64
• ドライバー ランク: 0x00ff0000
• 一致するデバイス ID: STORAGE\VolumeSnapshot
• デバイス更新: False
• 状態: 0x0
• DriverInbox: True

• ドライバー名: volsnap.inf
• クラス GUID: {533C5B84-EC70-11D2-9505-00C04F79DEAF}
• 問題: 0x0
• 状態: 0x0

• デバイス名: \Device\HarddiskVolumeShadowCopy[シャドウコピー番号]
• デバイス GUID: {00000000-0000-0000-0000-000000000000}

• ユーザーSID: [ユーザーSID]
• ユーザー名: [ドメイン名]\[ユーザー名]
• プロセスのイメージ名: C:\Windows\System32\vssadmin.exe
• シャドウ セットID: [シャドウ セットID]
• シャドウ ID: [シャドウ ID]
• False: [プロバイダーID]
• 元のコンピューター: [作成元ホスト]
• 元のボリューム: [作成元ボリューム]
• シャドウ デバイス名: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy[シャドウコピー番号]

• UtcTime: [発生日時(UTC)]
• ProcessId: [プロセスID]
• Image: C:\WINDOWS\system32\vssvc.exe
• TargetFilename: C:\System Volume Information\RemoteVss
• CreationUtcTime: [ファイル作成日時(UTC)]
• User: NT AUTHORITY\SYSTEM

• UtcTime: [発生日時(UTC)]
• ProcessId: [プロセスID]
• Image: C:\WINDOWS\system32\vssvc.exe
• TargetFilename: C:\System Volume Information\RemoteVss\{89300202-3cec-4981-9171-19f59559e0f2}-{F32554AF-9E70-418D-B16E-7F58170EA763}.PMS
• CreationUtcTime: [ファイル作成日時(UTC)]
• User: NT AUTHORITY\SYSTEM

• 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
• 作成元サブジェクト > アカウント名: [ユーザー名]
• 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
• プロセス情報 > 新しいプロセス名: C:\Windows\System32\cmd.exe
• プロセス情報 > プロセスのコマンド ライン: cmd /c copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy[シャドウコピー番号]\windows\ntds\ntds.dit [コピー先]

ここからはシャドウコピーからのファイル抽出。コマンドプロンプトを用いて、ntds.ditをコピーする内容。

• UtcTime: [発生日時(UTC)]
• Image: C:\Windows\System32\cmd.exe
• CommandLine: cmd /c copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy[シャドウコピー番号]\windows\ntds\ntds.dit [コピー先]
• User: [ドメイン名]\[ユーザー名]

• param1: Volume Shadow Copy
• param2: 停止

ここからはシャドウコピーサービスの停止。

• UtcTime: [発生日時(UTC)]
• Image: C:\Windows\System32\VSSVC.exe
• User: NT AUTHORITY\SYSTEM

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• プロセス情報 > 終了状態: 0x0
• プロセス情報 > プロセス名: C:\Windows\System32\VSSVC.exe

• 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
• 作成元サブジェクト > アカウント名: [ユーザー名]
• 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
• プロセス情報 > 新しいプロセス名: C:\Windows\System32\vssadmin.exe
• プロセス情報 > プロセスのコマンド ライン: vssadmin create shadow /For=C:

CommandLineに実行時のコマンドラインが記録される。ここから操作内容やシャドウコピーを操作されたボリュームが分かる。ここではドライブCのシャドウコピーを作成している。

• UtcTime: [発生日時(UTC)]
• Image: C:\Windows\System32\vssadmin.exe
• CommandLine: vssadmin create shadow /For=C:
• User: [ドメイン名]\[ユーザー名]

CommandLineに実行時のコマンドラインが記録される。ここから操作内容やシャドウコピーを操作されたボリュームが分かる。ここではドライブCのシャドウコピーを作成している。

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• オブジェクト > オブジェクトの種類: File
• オブジェクト > オブジェクト名: \Device\ConDrv
• 要求された操作 > 特権: SeTakeOwnershipPrivilege
• プロセス情報 > プロセス名: C:\Windows\System32\vssadmin.exe

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• オブジェクト > オブジェクトの種類: Mutant
• オブジェクト > オブジェクト名: \BaseNamedObjects\[文字列]
• 要求された操作 > 特権: SeTakeOwnershipPrivilege
• プロセス情報 > プロセス名: C:\Windows\System32\vssadmin.exe

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• オブジェクト > オブジェクトの種類: Semaphore
• オブジェクト > オブジェクト名: \BaseNamedObjects\[文字列]
• 要求された操作 > 特権: SeTakeOwnershipPrivilege
• プロセス情報 > プロセス名: C:\Windows\System32\vssadmin.exe

• 作成元サブジェクト > セキュリティ ID: S-1-5-18
• 作成元サブジェクト > アカウント名: [コンピューターアカウント]
• 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
• プロセス情報 > 新しいプロセス名: C:\Windows\System32\VSSVC.exe
• プロセス情報 > プロセスのコマンド ライン: C:\WINDOWS\system32\vssvc.exe
• プロセス情報 > 作成元プロセス名: C:\Windows\System32\services.exe

• UtcTime: [発生日時(UTC)]
• Image: C:\Windows\System32\VSSVC.exe
• CommandLine: C:\WINDOWS\system32\vssvc.exe
• User: NT AUTHORITY\SYSTEM
• IntegrityLevel: System
• ParentImage: C:\Windows\System32\services.exe
• ParentCommandLine: C:\WINDOWS\system32\services.exe
• ParentUser: NT AUTHORITY\SYSTEM

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• ターゲット アカウント > セキュリティ ID: S-1-0-0
• ターゲット アカウント > アカウント名: [コンピューターアカウント]
• ターゲット アカウント > アカウント ドメイン: [ドメイン名]
• プロセス情報 > プロセス名: C:\Windows\System32\VSSVC.exe
• 有効にされた特権: SeBackupPrivilege
• 無効にされた特権: -

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• ターゲット アカウント > セキュリティ ID: S-1-0-0
• ターゲット アカウント > アカウント名: [コンピューターアカウント]
• ターゲット アカウント > アカウント ドメイン: [ドメイン名]
• プロセス情報 > プロセス名: C:\Windows\System32\VSSVC.exe
• 有効にされた特権: SeRestorePrivilege
• 無効にされた特権: -

• param1: Volume Shadow Copy
• param2: 実行中

• EventType: CreateKey
• UtcTime: [発生日時(UTC)]
• Image: C:\WINDOWS\system32\vssvc.exe
• TargetObject: HKLM\System\CurrentControlSet\Services\VSS 配下の複数キー・値
• User: NT AUTHORITY\SYSTEM

• EventType: SetValue
• UtcTime: [発生日時(UTC)]
• Image: C:\WINDOWS\system32\vssvc.exe
• TargetObject: HKLM\System\CurrentControlSet\Services\VSS 配下の複数キー・値
• User: NT AUTHORITY\SYSTEM

• UtcTime: [発生日時(UTC)]
• Image: C:\Windows\System32\VSSVC.exe
• Device: \Device\HarddiskVolume[ボリューム番号]
• User: NT AUTHORITY\SYSTEM

• EventType: CreateKey
• UtcTime: [発生日時(UTC)]
• Image: C:\WINDOWS\system32\vssvc.exe
• TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5} 配下
• User: NT AUTHORITY\SYSTEM

• EventType: SetValue
• UtcTime: [発生日時(UTC)]
• Image: C:\WINDOWS\system32\vssvc.exe
• TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag\SwProvider_{b5946137-7b9f-4925-af80-51abd60b20d5} 配下
• User: NT AUTHORITY\SYSTEM

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security Account Manager
• オブジェクト > オブジェクトの種類: SAM_DOMAIN
• オブジェクト > オブジェクト名: CN=Builtin DC=[ドメイン名]
• オブジェクト > ハンドル ID: [ハンドルID]
• アクセス要求情報 > アクセス: DELETE, READ_CONTROL, WRITE_DAC, WRITE_OWNER, ReadPasswordParameters, WritePasswordParameters, ReadOtherParameters, WriteOtherParameters, CreateUser, CreateGlobalGroup, CreateLocalGroup, GetLocalGroupMembership, ListAccounts
• プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security Account Manager
• オブジェクト > オブジェクトの種類: SAM_ALIAS
• オブジェクト > オブジェクト名: S-1-5-32-544
• オブジェクト > ハンドル ID: [ハンドルID]
• アクセス要求情報 > アクセス: DELETE, READ_CONTROL, WRITE_DAC, WRITE_OWNER, AddMember, RemoveMember, ListMembers, ReadInformation, WriteAccount
• プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe

「S-1-5-32-544」はAdministratorsグループのSID。

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security Account Manager
• オブジェクト > ハンドル ID: [直前のイベント4661で使用されていたハンドルID]
• プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe

• グループ > グループ名: Administrators
• グループ > グループ ドメイン: Builtin
• グループ > セキュリティ ID: S-1-5-32-544
• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• プロセス情報 > プロセス名: C:\Windows\System32\VSSVC.exe

• UtcTime: [発生日時(UTC)]
• SourceImage: C:\WINDOWS\system32\lsass.exe
• TargetImage: C:\WINDOWS\system32\vssvc.exe
• GrantedAccess: 0x00001000

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security Account Manager
• オブジェクト > オブジェクトの種類: SAM_DOMAIN
• オブジェクト > オブジェクト名: CN=Builtin DC=[ドメイン名]
• オブジェクト > ハンドル ID: [ハンドルID]
• アクセス要求情報 > アクセス: DELETE, READ_CONTROL, WRITE_DAC, WRITE_OWNER, ReadPasswordParameters, WritePasswordParameters, ReadOtherParameters, WriteOtherParameters, CreateUser, CreateGlobalGroup, CreateLocalGroup, GetLocalGroupMembership, ListAccounts
• プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security Account Manager
• オブジェクト > ハンドル ID: [直前のイベント4661で使用されていたハンドルID]
• プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security Account Manager
• オブジェクト > オブジェクトの種類: SAM_ALIAS
• オブジェクト > オブジェクト名: S-1-5-32-551
• オブジェクト > ハンドル ID: [ハンドルID]
• アクセス要求情報 > アクセス: DELETE, READ_CONTROL, WRITE_DAC, WRITE_OWNER, AddMember, RemoveMember, ListMembers, ReadInformation, WriteAccount
• プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe

「S-1-5-32-551」はBackup OperatorsグループのSID。

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security Account Manager
• オブジェクト > ハンドル ID: [直前のイベント4661で使用されていたハンドルID]
• プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe

• グループ > グループ名: Backup Operators
• グループ > グループ ドメイン: Builtin
• グループ > セキュリティ ID: S-1-5-32-551
• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• プロセス情報 > プロセス名: C:\Windows\System32\VSSVC.exe

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security Account Manager
• オブジェクト > ハンドル ID: [直前のイベント4661で使用されていたハンドルID]
• プロセス情報 > プロセス名: C:\Windows\System32\lsass.exe

• EventType: CreateKey
• UtcTime: [発生日時(UTC)]
• Image: C:\WINDOWS\system32\vssvc.exe
• TargetObject: HKLM\System\CurrentControlSet\Services\VSS 配下の複数キー・値
• User: NT AUTHORITY\SYSTEM

• EventType: SetValue
• UtcTime: [発生日時(UTC)]
• Image: C:\WINDOWS\system32\vssvc.exe
• TargetObject: HKLM\System\CurrentControlSet\Services\VSS 配下の複数キー・値
• User: NT AUTHORITY\SYSTEM

• UtcTime: [発生日時(UTC)]
• Image: C:\Windows\System32\VSSVC.exe
• Device: \Device\HarddiskVolume[ボリューム番号]
• User: NT AUTHORITY\SYSTEM

• param1: Microsoft Software Shadow Copy Provider
• param2: 実行中

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• ターゲット アカウント > セキュリティ ID: S-1-0-0
• ターゲット アカウント > アカウント名: [コンピューターアカウント]
• ターゲット アカウント > アカウント ドメイン: [ドメイン名]
• プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
• 有効にされた特権: SeBackupPrivilege
• 無効にされた特権: -

• EventType: CreateKey
• UtcTime: [発生日時(UTC)]
• Image: C:\WINDOWS\system32\vssvc.exe
• TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag\VolSnap 配下のキー・値
• User: NT AUTHORITY\SYSTEM

• EventType: SetValue
• UtcTime: [発生日時(UTC)]
• Image: C:\WINDOWS\system32\vssvc.exe
• TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag\VolSnap 配下のキー・値
• User: NT AUTHORITY\SYSTEM

• EventType: CreateKey
• UtcTime: [発生日時(UTC)]
• Image: System
• TargetObject: HKLM\System\CurrentControlSet\Enum\STORAGE
• User: NT AUTHORITY\SYSTEM

• EventType: CreateKey
• UtcTime: [発生日時(UTC)]
• Image: System
• TargetObject: HKLM\System\CurrentControlSet\Enum\STORAGE\VolumeSnapshot 配下のキー・値
• User: NT AUTHORITY\SYSTEM

• EventType: SetValue
• UtcTime: [発生日時(UTC)]
• Image: System
• TargetObject: HKLM\System\CurrentControlSet\Enum\STORAGE\VolumeSnapshot 配下のキー・値
• User: NT AUTHORITY\SYSTEM

• EventType: CreateKey
• UtcTime: [発生日時(UTC)]
• Image: System
• TargetObject: HKLM\System\CurrentControlSet\Control\DeviceContainers\{00000000-0000-0000-FFFF-FFFFFFFFFFFF} 配下のキー・値
• User: NT AUTHORITY\SYSTEM

• EventType: SetValue
• UtcTime: [発生日時(UTC)]
• Image: System
• TargetObject: HKLM\System\CurrentControlSet\Control\DeviceContainers\{00000000-0000-0000-FFFF-FFFFFFFFFFFF} 配下のキー・値
• User: NT AUTHORITY\SYSTEM

• EventType: CreateKey
• UtcTime: [発生日時(UTC)]
• Image: System
• TargetObject: HKLM\System\CurrentControlSet\Control\DeviceContainers\{00000000-0000-0000-FFFF-FFFFFFFFFFFF}\BaseContainers\{00000000-0000-0000-FFFF-FFFFFFFFFFFF}\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[スナップショット番号]
• User: NT AUTHORITY\SYSTEM
• Details: [バイナリデータ]

• EventType: SetValue
• UtcTime: [発生日時(UTC)]
• Image: System
• TargetObject: HKLM\System\CurrentControlSet\Control\DeviceContainers\{00000000-0000-0000-FFFF-FFFFFFFFFFFF}\BaseContainers\{00000000-0000-0000-FFFF-FFFFFFFFFFFF}\STORAGE\VolumeSnapshot\HarddiskVolumeSnapshot[スナップショット番号]
• User: NT AUTHORITY\SYSTEM
• Details: [バイナリデータ]

• EventType: CreateKey
• UtcTime: [発生日時(UTC)]
• Image: System
• TargetObject: HKLM\System\CurrentControlSet\Control\Class\{533c5b84-ec70-11d2-9505-00c04f79deaf}\0000 配下のキー・値
• User: NT AUTHORITY\SYSTEM

「533c5b84-ec70-11d2-9505-00c04f79deaf」はVolumeSnapshotクラスのGUID。

• EventType: SetValue
• UtcTime: [発生日時(UTC)]
• Image: System
• TargetObject: HKLM\System\CurrentControlSet\Control\Class\{533c5b84-ec70-11d2-9505-00c04f79deaf}\0000 配下のキー・値
• User: NT AUTHORITY\SYSTEM

「533c5b84-ec70-11d2-9505-00c04f79deaf」はVolumeSnapshotクラスのGUID。

• EventType: CreateKey
• UtcTime: [発生日時(UTC)]
• Image: System
• TargetObject: HKLM\System\CurrentControlSet\Control\DeviceClasses\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\##?#STORAGE#VolumeSnapshot#HarddiskVolumeSnapshot[スナップショット番号]#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\DeviceInstance 配下のキー・値
• User: NT AUTHORITY\SYSTEM

「53f5630d-b6bf-11d0-94f2-00a0c91efb8b」はリムーバルメディアクラスのGUID。

• EventType: SetValue
• UtcTime: [発生日時(UTC)]
• Image: System
• TargetObject: HKLM\System\CurrentControlSet\Control\DeviceClasses\{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\##?#STORAGE#VolumeSnapshot#HarddiskVolumeSnapshot[スナップショット番号]#{53f5630d-b6bf-11d0-94f2-00a0c91efb8b}\DeviceInstance 配下のキー・値
• User: NT AUTHORITY\SYSTEM

「53f5630d-b6bf-11d0-94f2-00a0c91efb8b」はリムーバルメディアクラスのGUID。

• ドライバー名: volsnap.inf
• クラス GUID: {533C5B84-EC70-11D2-9505-00C04F79DEAF}
• ドライバー プロバイダー: Microsoft
• ドライバー セクション: volume_snapshot_install.NTamd64
• ドライバー ランク: 0x00ff0000
• 一致するデバイス ID: STORAGE\VolumeSnapshot
• デバイス更新: False
• 状態: 0x0
• DriverInbox: True

• ドライバー名: volsnap.inf
• クラス GUID: {533C5B84-EC70-11D2-9505-00C04F79DEAF}
• 問題: 0x0
• 状態: 0x0

• UtcTime: [発生日時(UTC)]
• Image: C:\Windows\System32\VSSVC.exe
• Device: \Device\HarddiskVolume[ボリューム番号]
• User: NT AUTHORITY\SYSTEM

• ボリューム GUID: {00000000-0000-0000-0000-000000000000}

• デバイス名: \Device\HarddiskVolumeShadowCopy[シャドウコピー番号]
• デバイス GUID: {00000000-0000-0000-0000-000000000000}

• ユーザーSID: [ユーザーSID]
• ユーザー名: [ドメイン名]\[ユーザー名]
• プロセスのイメージ名: C:\Windows\System32\vssadmin.exe
• シャドウ セットID: [シャドウ セットID]
• シャドウ ID: [シャドウ ID]
• False: [プロバイダーID]
• 元のコンピューター: [作成元ホスト]
• 元のボリューム: [作成元ボリューム]
• シャドウ デバイス名: \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy[シャドウコピー番号]

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• イベント ソース > ソース名: VSSAudit
• イベント ソース > イベント ソース ID: 0x00000000001c589d
• プロセス情報 > プロセス名: C:\Windows\System32\VSSVC.exe

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• イベント ソース > ソース名: VSSAudit
• イベント ソース > イベント ソース ID: 0x00000000001c589d
• プロセス情報 > プロセス名: C:\Windows\System32\VSSVC.exe

• UtcTime: [発生日時(UTC)]
• Image: C:\Windows\System32\vssadmin.exe
• User: [ドメイン名]\[ユーザー名]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• プロセス情報 > 終了状態: 0x0
• プロセス情報 > プロセス名: C:\Windows\System32\vssadmin.exe

ここまではシャドウコピーの作成。

• 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
• 作成元サブジェクト > アカウント名: [ユーザー名]
• 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
• プロセス情報 > 新しいプロセス名: C:\Windows\System32\vssadmin.exe
• プロセス情報 > プロセスのコマンド ライン: vssadmin list shadows

ここからはシャドウコピーの一覧確認。

• UtcTime: [発生日時(UTC)]
• Image: C:\Windows\System32\vssadmin.exe
• CommandLine: vssadmin list shadows
• User: [ドメイン名]\[ユーザー名]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• オブジェクト > オブジェクトの種類: File
• オブジェクト > オブジェクト名: \Device\ConDrv
• 要求された操作 > 特権: SeTakeOwnershipPrivilege
• プロセス情報 > プロセス名: C:\Windows\System32\vssadmin.exe

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• オブジェクト > オブジェクトの種類: Mutant
• オブジェクト > オブジェクト名: \BaseNamedObjects\[文字列]
• 要求された操作 > 特権: SeTakeOwnershipPrivilege
• プロセス情報 > プロセス名: C:\Windows\System32\vssadmin.exe

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• オブジェクト > オブジェクト サーバー: Security
• オブジェクト > オブジェクトの種類: Semaphore
• オブジェクト > オブジェクト名: \BaseNamedObjects\[文字列]
• 要求された操作 > 特権: SeTakeOwnershipPrivilege
• プロセス情報 > プロセス名: C:\Windows\System32\vssadmin.exe

• EventType: CreateKey
• UtcTime: [発生日時(UTC)]
• Image: C:\WINDOWS\system32\vssvc.exe
• TargetObject: HKLM\System\CurrentControlSet\Services\VSS\Diag\FSProvider_{89300202-3cec-4981-9171-19f59559e0f2}
• User: NT AUTHORITY\SYSTEM

「89300202-3cec-4981-9171-19f59559e0f2」はMicrosoft File Share Shadow Copy ProviderのプロバイダID。

• UtcTime: [発生日時(UTC)]
• ProcessId: [プロセスID]
• Image: C:\WINDOWS\system32\vssvc.exe
• TargetFilename: C:\System Volume Information\RemoteVss
• CreationUtcTime: [ファイル作成日時(UTC)]
• User: NT AUTHORITY\SYSTEM

• UtcTime: [発生日時(UTC)]
• ProcessId: [プロセスID]
• Image: C:\WINDOWS\system32\vssvc.exe
• TargetFilename: C:\System Volume Information\RemoteVss\{89300202-3cec-4981-9171-19f59559e0f2}-{F32554AF-9E70-418D-B16E-7F58170EA763}.PMS
• CreationUtcTime: [ファイル作成日時(UTC)]
• User: NT AUTHORITY\SYSTEM

• UtcTime: [発生日時(UTC)]
• Image: C:\Windows\System32\vssadmin.exe
• User: [ドメイン名]\[ユーザー名]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• プロセス情報 > 終了状態: 0x0
• プロセス情報 > プロセス名: C:\Windows\System32\vssadmin.exe

ここまではシャドウコピーの一覧取得。

• 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
• 作成元サブジェクト > アカウント名: [ユーザー名]
• 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
• プロセス情報 > 新しいプロセス名: C:\Windows\System32\cmd.exe
• プロセス情報 > プロセスのコマンド ライン: cmd /c copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy[シャドウコピー番号]\windows\ntds\ntds.dit [コピー先]

ここからはシャドウコピーからのファイル抽出。コマンドプロンプトを用いて、ntds.ditをコピーする内容。

• UtcTime: [発生日時(UTC)]
• Image: C:\Windows\System32\cmd.exe
• CommandLine: cmd /c copy \\?\GLOBALROOT\Device\HarddiskVolumeShadowCopy[シャドウコピー番号]\windows\ntds\ntds.dit [コピー先]
• User: [ドメイン名]\[ユーザー名]

• UtcTime: [発生日時(UTC)]
• ProcessId: [プロセスID]
• Image: C:\WINDOWS\system32\cmd.exe
• TargetFilename: [コピー先]\ntds.dit
• CreationUtcTime: [ファイル作成日時(UTC)]
• User: [ドメイン名]\[ユーザー名]

• UtcTime: [発生日時(UTC)]
• Image: C:\Windows\System32\cmd.exe
• User: [ドメイン名]\[ユーザー名]

• サブジェクト > セキュリティ ID: [ユーザーSID]
• サブジェクト > アカウント名: [ユーザー名]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• プロセス情報 > 終了状態: 0x0
• プロセス情報 > プロセス名: C:\Windows\System32\cmd.exe

• param1: Volume Shadow Copy
• param2: 停止

ここからはシャドウコピーサービスの停止。

• UtcTime: [発生日時(UTC)]
• Image: C:\Windows\System32\VSSVC.exe
• User: NT AUTHORITY\SYSTEM

• サブジェクト > セキュリティ ID: S-1-5-18
• サブジェクト > アカウント名: [コンピューターアカウント]
• サブジェクト > アカウント ドメイン: [ドメイン名]
• プロセス情報 > 終了状態: 0x0
• プロセス情報 > プロセス名: C:\Windows\System32\VSSVC.exe

• FileCreate