eventvwr.exeID 4624 logon (成功したとき) logon type 2 対話型…telnet、ftp等 3 ネットワーク、SMB 5 サービス 10 RDPID 576 権限昇格 4672 権限昇格https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventid=4624

for /L %f in (1,1,254) do ping -n 1 -w 50 192.168.0.%f >> ping_results.txt

#!/bin/bash files=() while read file do files+=("${file}") done 対象ディレクトリ/*) echo "${files[@]}" > /media/結果出力先ディレクトリ/結果出力ファイル名〜 done - 以下のスクリプトでは、空白文字を含むパスの場合うまくいかない#!bin/bash for i…

upx -d packed.exe -o unpacked.exe -dは解凍、-oは出力先ファイル名の指定

HKLM/Software/Microsoft/Windows/CurrentVersion/Run HKLM/Software/Microsoft/Windows/CurrentVersion/Runonece HKLM/Software/Microsoft/Windows/CurrentVersion/RunoneceEX AppData/Roaming/Microsoft/Windows/ｽﾀｰﾄﾒﾆｭｰ/ﾌﾟﾛｸﾞﾗﾑ/ｽﾀｰﾄｱｯﾌﾟ C:/Windows/win…

lusmgr.msc net localgroups administrators

Accept fail(..er,..ed) root でgrep

対象ファイルを含むディレクトリに移動して - @echo offfor /f "usebackq delims= eol=" %%s in ("%~1") do @( echo %%s goto break; ) :break - をhead.cmdとして保存する。>for %a in (*) do head %aとすると、 C:\Users\root\Pictures>head ds_insert3.pd…

複数あるが、取り急ぎの場合はHKLM\SYSTEM\ControlSet001(or 002) Enum\USBSTOR\Disk&Ven_&Prod_USB_DISK_2.0(or 3.0)&Rev_PMAP 以下にシリアル番号で始まるキー HKLM\SYSTEM\MountedDevices 以下に \DOSDevices\D: などとして詳細を含むキーが記録されてい…

コマンドライン上で >for %a in (*) do certutil -hashfile %a MD5 特定のhashを持つファイルを検索する場合は、出力結果をtxtファイルにリダイレクトしてgrep - bashでやるなら、 >for i in `find ./ -type f` >do >md5sum $i >done であとはgrepに送るなり…

対象ファイルを含むディレクトリに移動して>for %a in (*) do findstr 検索文字列 %aとすると 再帰的にfindstrが実行される。 （batファイル中に記載するときは %a を %%a と%2個で書く）

http://port139.hatenablog.com/entries/2005/09/08

https://fish.minidns.net/projects/a-painter-and-a-black-cat/wiki/CTF_Forensic のキャッシュから...実行形式¶ ファイルフォーマット HEX ASCII Note ELF 7F PE(.exe .dll .ocx .scr .cpl .com .fon) 4D 5A MZ 頭の方(0x80〜0xf0のあたり)が 50 40 00 00 …

http://www.astro.keele.ac.uk/oldusers/rno/Computing/File_magic.html

http://blog.macnica.net/blog/2014/03/pe-5284.html １．調べたい検体をPEViewで開きます。２．左側のツリーから「IMAGE_SECTION_HEADER .xxxx」を選択します。３．右ペインの「Characteristics」欄を確認し、以下のフラグがいずれもあるかどうかを調べます…

不審な通信を早く見つけるにはどうしたらいいでしょうか？① 疑いのある特定の端末のみに絞り込み ② CONNECTでgrep ③ ユーザが使用しているブラウザのユーザエージェントでgrep -v〜ユーザオペレーション以外のSSL Connectionが表示される... って感じはどう…

CREATE TABLE copy_of_Messages AS SELECT * FROM Messages; ALTER TABLE copy_of_Messages ADD COLUMN timestamp_2JST text; UPDATE copy_of_Messages SET timestamp_2JST = datetime(timestamp,'unixepoch','localtime'); - CREATE TABLE copy_of_chat AS …

吊るしのWinコマンドでOK >certutil -hashfile C:\filepath\filename MD5（又はSHA1）http://d.hatena.ne.jp/EijiYoshida/20150526/1432625482 ※ Linux上では $ md5sum filename $sha1sum filename $sha256sum filename ※ mac上では $ md5 filename $ openss…

http://blog.amedama.jp/entry/2015/10/13/213412

Pythonによる文字コードに２を加えた暗文の復号方法 Pythonを起動（ライン入力モード） C:\ToolZ\python27>python Python 2.7.2 (default, Jun 12 2011, 15:08:59) [MSC v.1500 32 bit (Intel)] on win 32 Type "help", "copyright", "credits" or "license"…

dir /S /A:H > test.txtsakuraエディタなどでgrep[0-9],[0-9][0-9][0-9],[0-9][0-9][0-9]（サイズ１Mbyteを超えるものが列記される。）

/var/log/secure で fail 及び root を検索する。

http://kieft.hateblo.jp/entry/2014/08/31/regripper%E3%81%AE%E4%BD%BF%E3%81%84%E6%96%B9%E3%83%A1%E3%83%A2 から引用●プログラムの実行履歴 ・UserAssist エクスプローラー経由で起動したアプリケーションがわかる。 （エクスプローラーがプログラムの実…

http://lazesoftware.com/tool/strgen/

http://sucrose.hatenablog.com/entry/2014/04/27/234005 から引用 シーザー暗号はすべてのアルファベットをn個ずつずらす暗号です。シーザー暗号 - Wikipedia ABCDEFGHIJKLMNOPQRSTUVWXYZ ↓(+3) DEFGHIJKLMNOPQRSTUVWXYZABC 暗号を元の文に復号化するときに…