wevtutil

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
痕跡の削除
説明
イベントログを削除する。
攻撃時における想定利用例
攻撃の痕跡を削除する。

- ツール動作概要

- 概要

項目 接続元 接続先
通信プロトコル
  • 135/tcp
  • 135/tcp
権限 User Admin
ドメインへの所属 不要 不要
サービス - -
OS Windows Windows
備考 - -

- 動作確認環境

環境 動作可否
Windows 7 + Windows Server 2012 動作する
Windows 10 + Windows Server 2012 動作する
Windows 11 + Windows Server 2025 動作する

- ログから得られる情報

標準設定
  • 接続元
    • Prefetch: 実行履歴
  • 接続先
    • イベントログ: イベントログの削除履歴
追加設定
  • 接続元
    • 監査ポリシー・Sysmon: 実行履歴

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • 作成元サブジェクト > アカウント名: [実行ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: [実行ファイルのパス]
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeFull (2)
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
  • プロセス情報 > プロセスのコマンド ライン: wevtutil cl [削除対象ログ] /r:[接続先ホスト]
  • プロセス情報 > 作成元プロセス名: [親実行ファイルのパス]

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\WEVTUTIL.EXE-[ハッシュ値].pf WEVTUTIL.EXE \VOLUME{[ボリュームGUID]}\WINDOWS\SYSTEM32\WEVTUTIL.EXE

MFT

# パス ヘッダフラグ 備考
1 C:\Windows\Prefetch\WEVTUTIL.EXE-[ハッシュ値].pf FILE InUse

USNジャーナル

# ファイル名 処理 備考
1 WEVTUTIL.EXE-[ハッシュ値].pf
  • DataExtend+FileCreate+Close

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 1102 Log clear [削除対象ログ] ログ ファイルが消去されました。

「セキュリティ」以外のログを消去すると、「システム」ログにイベント104が記録される。

MFT

# パス ヘッダフラグ 備考
1 C:\Windows\System32\winevt\Logs\[削除されたイベントログファイル名] FILE InUse

USNジャーナル

# ファイル名 処理 備考
1 [削除されたイベントログファイル名]
  • DataExtend|FileCreate+Close+DataTruncation
  • SecurityChange|FileCreate+Close

- 詳細情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • 作成元サブジェクト > アカウント名: [実行ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Windows\System32\wevtutil.exe
  • プロセス情報 > トークン昇格の種類: TokenElevationTypeFull(2)
  • プロセス情報 > 作成元プロセス ID: [親プロセスID]
  • プロセス情報 > プロセスのコマンド ライン: wevtutil cl [削除対象ログ] /r:[接続先ホスト]
  • プロセス情報 > 作成元プロセス名: [親実行ファイルのパス]
2 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\wevtutil.exe
  • FileVersion・Description・Product・Company・OriginalFileName: [実行ファイルのメタデータ]
  • CommandLine: wevtutil cl [削除対象ログ] /r:[接続先ホスト]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [ドメイン名]\[ユーザー名]
  • LogonId: [ログオンID]
  • ParentProcessId: [親プロセスID]
  • ParentUser: [親プロセスの実行ユーザ]
3 Microsoft-Windows-Sysmon/Operational 7 Image loaded Image loaded.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [実行ファイルのパス]
  • ImageLoaded: [読み取ったDLLファイルなど]
  • FileVersion・Description・Product・Company・OriginalFileName: [DLLファイルなどのメタデータ]
  • User: [ドメイン名]\[ユーザー名]
4 Security 4673 Sensitive Privilege Use 特権のあるサービスが呼び出されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • サービス > サーバー: -
  • サービス > サービス名: Security
  • サービス要求情報 > 特権: SeProfileSingleProcessPrivilege
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wevtutil.exe
5 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\WINDOWS\system32\wevtutil.exe
  • TargetObject: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
  • User: [ドメイン名]\[ユーザー名]
6 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\wevtutil.exe
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 135
  • ネットワーク情報 > プロトコル: 6 (TCP)
7 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: <unknown process>
  • User: -
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 135
8 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume\windows\system32\wevtutil.exe
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: [接続先ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
9 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: <unknown process>
  • User: -
  • Protocol: tcp
  • Initiated: True
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: [接続先ポート番号]
10 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [実行ユーザーSID]
  • サブジェクト > アカウント名: [実行ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\wevtutil.exe
11 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\wevtutil.exe
  • User: [ドメイン名]\[ユーザー名]
12 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\WEVTUTIL.EXE-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, ReadData (または ListDirectory), WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance), ReadEA, WriteEA, ReadAttributes, WriteAttributes
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
13 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\WEVTUTIL.EXE-[ハッシュ値].pf
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドル]
  • アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
14 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • オブジェクト > ハンドル ID: [イベント4656で取得されたハンドル]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
15 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\WINDOWS\system32\svchost.exe
  • TargetFilename: C:\Windows\Prefetch\WEVTUTIL.EXE-[ハッシュ値].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\WEVTUTIL.EXE-[ハッシュ値].pf WEVTUTIL.EXE \VOLUME{[ボリュームGUID]}\WINDOWS\SYSTEM32\WEVTUTIL.EXE

MFT

# パス ヘッダフラグ 備考
1 C:\Windows\Prefetch\WEVTUTIL.EXE-[ハッシュ値].pf FILE InUse

USNジャーナル

# ファイル名 処理 備考
1 WEVTUTIL.EXE-[ハッシュ値].pf
  • DataExtend+FileCreate+Close

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume3[ボリューム番号]\windows\system32\svchost.exe
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 135
  • ネットワーク情報 > プロトコル: 6 (TCP)
2 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • Image: C:\Windows\System32\svchost.exe
  • User: NT AUTHORITY\LOCAL SERVICE
  • Protocol: tcp
  • Initiated: False
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 135
3 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume3[ボリューム番号]\windows\system32\svchost.exe
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: [接続先ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • Image: C:\Windows\System32\svchost.exe
  • User: NT AUTHORITY\LOCAL SERVICE
  • Protocol: tcp
  • Initiated: False
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: [接続先ポート番号]
5 Security 4672 Special Logon 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege, SeEnableDelegationPrivilege
6 Security 4624 Logon アカウントが正常にログオンしました。
  • サブジェクト > セキュリティ ID: S-1-0-0
  • サブジェクト > アカウント名: -
  • サブジェクト > アカウント ドメイン: -
  • サブジェクト > ログオン ID: 0x0
  • 新しいログオン > セキュリティ ID: [ログオンユーザーSID]
  • 新しいログオン > アカウント名: [ログオンユーザー名]
  • 新しいログオン > アカウント名: [ドメイン名]
  • 新しいログオン > ログオン ID: [ログオンID]
  • ログオン情報 > ログオン タイプ: 3
  • ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ログオン情報 > 昇格されたトークン: True
7 System 104 Log clear [削除対象ログ] ログ ファイルが消去されました。

「セキュリティ」ログを消去すると「セキュリティ」がログにイベント1102が記録される。他のログを消去すると、「システム」ログにイベント104が記録される。
8 Security 4634 Logoff アカウントがログオフしました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • TargetDomainName: [ドメイン名]
  • サブジェクト > ログオン ID: [イベント4624で記録されたログオンID]

MFT

# パス ヘッダフラグ 備考
1 C:\Windows\System32\winevt\Logs\[削除されたイベントログファイル名] FILE InUse

USNジャーナル

# ファイル名 処理 備考
1 [削除されたイベントログファイル名]
  • DataExtend|FileCreate+Close+DataTruncation
  • SecurityChange|FileCreate+Close

- パケット

# オペレーション 接続元ホスト 接続元ポート番号 接続先ホスト 接続先ポート プロトコル アプリケーション 備考
1 Bind: call_id: 2, Fragment: Single, 3 context items: EPMv4 V3.0 (32bit NDR), EPMv4 V3.0 (64bit NDR), EPMv4 V3.0 (6cb71c2c-9812-4540-0300-000000000000) [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 135 tcp DCERPC
2 Bind_ack: call_id: 2, Fragment: Single, max_xmit: 5840 max_recv: 5840, 3 results: Provider rejection, Acceptance, Negotiate ACK [接続先IPアドレス] 135 [接続元IPアドレス] [接続元ポート番号] tcp DCERPC
3 Map request, 32bit NDR [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 135 tcp EPM
4 Map response, 32bit NDR [接続先IPアドレス] 135 [接続元IPアドレス] [接続元ポート番号] tcp EPM
5 Bind: call_id: 2, Fragment: Single, 3 context items: f6beaff7-1e19-4fbb-9f8f-b89e2018337c V1.0 (32bit NDR), f6beaff7-1e19-4fbb-9f8f-b89e2018337c V1.0 (64bit NDR), f6beaff7-1e19-4fbb-9f8f-b89e2018337c V1.0 (6cb71c2c-9812-4540-0300-000000000000) [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続元ポート番号] tcp DCERPC
6 Bind_ack: call_id: 2, Fragment: Single, max_xmit: 5840 max_recv: 5840, 3 results: Provider rejection, Acceptance, Negotiate ACK [接続先IPアドレス] [接続元ポート番号] [接続元IPアドレス] [接続元ポート番号] tcp DCERPC
7 Alter_context: call_id: 2, Fragment: Single, 1 context items: f6beaff7-1e19-4fbb-9f8f-b89e2018337c V1.0 (64bit NDR) [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続元ポート番号] tcp DCERPC
8 Alter_context_resp: call_id: 2, Fragment: Single, max_xmit: 5840 max_recv: 5840, 1 results: Acceptance [接続先IPアドレス] [接続元ポート番号] [接続元IPアドレス] [接続元ポート番号] tcp DCERPC
9 Request: call_id: 2, Fragment: Single, opnum: 4, Ctx: 1 f6beaff7-1e19-4fbb-9f8f-b89e2018337c V1 [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続元ポート番号] tcp DCERPC
10 Response: call_id: 2, Fragment: Single, Ctx: 1 f6beaff7-1e19-4fbb-9f8f-b89e2018337c V1 [接続先IPアドレス] [接続元ポート番号] [接続元IPアドレス] [接続元ポート番号] tcp DCERPC
11 Request: call_id: 3, Fragment: Single, opnum: 6, Ctx: 1 f6beaff7-1e19-4fbb-9f8f-b89e2018337c V1 [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続元ポート番号] tcp DCERPC
12 Response: call_id: 3, Fragment: Single, Ctx: 1 f6beaff7-1e19-4fbb-9f8f-b89e2018337c V1 [接続先IPアドレス] [接続元ポート番号] [接続元IPアドレス] [接続元ポート番号] tcp DCERPC
13 Request: call_id: 4, Fragment: Single, opnum: 13, Ctx: 1 f6beaff7-1e19-4fbb-9f8f-b89e2018337c V1 [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] [接続元ポート番号] tcp DCERPC
14 Response: call_id: 4, Fragment: Single, Ctx: 1 f6beaff7-1e19-4fbb-9f8f-b89e2018337c V1 [接続先IPアドレス] [接続元ポート番号] [接続元IPアドレス] [接続元ポート番号] tcp DCERPC

- 備考