LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@ballboyst365

Windows端末のIRチートシート

Last updated at Posted at 2025-09-29

  1. 基本情報収集

    # システム情報(OSバージョン、パッチ、メモリ、起動時間など)を表示する。
systeminfo
# コンピュータ名(ホスト名)を確認する。
hostname
# 全てのネットワークインターフェースの詳細(IP、MAC、DNS、DHCPなど)を表示する。
ipconfig /all
# 現在ログオンしているユーザーを表示する。
whoami
# システムに存在する全ローカルユーザーアカウントを一覧表示する。
net user
# 管理者グループに所属するユーザーを確認する。
net localgroup administrators
# システム日付を簡易表示する。
date /t
# システム時刻を簡易表示する。
time /t
# 実行中のプロセスの一覧と詳細(状態、ユーザー名、CPU時間など)を表示する。
tasklist /v
# WMICコマンドで詳細なプロセス情報を一覧表示する。
wmic process list full
# 最後にOSが起動された時刻を確認する。
wmic os get lastbootuptime
# サービスの状態と詳細(プロセスIDなど)を表示する。
sc queryex type=service

  2. 不審プロセス・サービス

    # 実行中プロセスと関連付けられたサービスを表示する。
tasklist /svc
# 各プロセスにロードされているDLLモジュールを表示する。
tasklist /m
# ネットワーク接続とリスニング状態、PIDを表示する。
netstat -ano
# スタートアップやサービス管理ツール(GUI)を開く。
msconfig
# システム起動時にロードされるプログラムをレジストリで確認する。
reg query HKLM\...RUN
# サービスの一覧(簡易情報)を取得する。
wmic service list brief
# PowerShellでサービス情報を取得する。
Get-Wmiobject win32_service
# メモリダンプ解析でプロセス情報を一覧表示する(Volatility)
volatility pslist
# PowerShellのコマンド実行履歴を確認する。
Get-History
# コマンドプロンプトで入力した履歴を表示する。
doskey /history

  3. ファイルとレジストリ痕跡

    # NTFSのUSNジャーナル情報を確認し、過去のファイル操作履歴を調査する。
fsutil usn queryjournal C:
# ファイル作成日時(C)を基準に新しい順(-D)でサブディレクトリまで一覧表示する。
dir /T:C /O-D /S
# 接続されたUSBストレージデバイスの履歴を確認する。
reg query HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR
# スタートアップに登録されているプログラムを確認する。
req query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
# スタートアップ・サービスの状態確認を行うGUIツール。
msconfig

  4. ネットワーク、通信痕跡

    # 現在のTCP/UDP接続とリスニングポート、PIDを確認する。
netstat -ano
# DNSキャッシュを表示し、過去にアクセスされたドメインを確認できる。
ipconfig /displaydns
# PowerShellでネットワーク接続状況を取得する。
Get-NetTCPConnection

    Firewallログ:C:\Windows\System32\LogFiles\Firewall\pfirewall.log

  5. イベントID

    分類 イベントID 内容
    ログオン 4624,4625 成功、失敗
    RDP関連 4778,4779 セッション確立、切断
    アカウント 4720,4722 ユーザー作成、有効化
    権限変更 4732,4728 グループ追加、管理者権限化
    特権 4672,4674 付与、使用
    サービス 7034-7036,7045 起動、停止、障害、インストール
    ファイル操作 4663 ファイル、フォルダへのアクセス権変更
    スケジュール 4698-4702 タスク作成、削除、有効化、無効化、アップデート
    プロセス 4688 作成
    その他 7040 サービス起動タイプ変更

  6. よく利用される実行ファイル

    実行ファイル 親プロセス
    smss.exe Sysetm
    csrss.exe
    wininit.exe
    services.exe wininit.exe
    svchost.exe wininit.exe
    RuntimeBroker.exe winint.exe
    lsaiso.exe wininit.exe
    lsass.exe wininit.exe
    winlogon.exe
    explorer.exe

  7. マルウェアによく利用されるフォルダ
    ・%TEMP%
    ・%PROGRAMDATA%
    ・%PUBLIC%
    ・%APPDATA%
    ・%LOCALAPPDATA%
    ・%USERPROFILE%
    ・スタートアップフォルダ
    ・スタートアップフォルダ(Users内の)

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?