Windows Command

通信状況 netstat

netstat -[Options]

  • Options
    Option
    Detail
    a
    全てのポートを表示
    n
    IPアドレスで表示
    o
    プロセスIDを表示
    b
    プロセス名表示
  • 使用例
    > netstat -anob

プロセス表示 tasklist

tasklist /[Options]

  • Options
    Option
    Detail
    v
    詳細情報表示
    m
    コマンドラインオプションを表示
    svc
    サービスとの関連を表示
    fi
    フィルタ
    (Example: tasklist /fi "pid eq プロセスID")
  • 使用例
    > tasklist /svc
    > tasklist /m /fi "pid eq プロセスID"

プロセス終了 taskkill

task kill /[Options]

  • Options
    Option
    Detail
    pid
    プロセスID
    im
    イメージ名
  • 使用例
    > taskkill /pid 1234

システム管理基盤コマンド wmic

  • 実行中のプロセス情報を簡易表示
    > wmic process list brif
  • 実行中のプロセス情報を詳細表示
    > wmic process list full
  • 実行中のプロセスの特定フィールドのみを表示
    > wmic process get name, parentprocessid, processid
  • 実行時のコマンドラインを表示
    > wmic process list get commandline
  • 特定のプロセスのみ表示
    > wmic process where processid=プロセスID get commandline
    > wmic process where name="lsass.exe" list full
  • 共通の親を持つ子プロセスを表示
    > wmic process list where parentprocessid=1234

Windows10 Config

Windows10でWindowsPhotoViewerを使用する

以下をテキストに記載し、レジストリとして実行する

Windows Registry Editor Version 5.00 [HKEY_CLASSES_ROOT\Applications\photoviewer.dll] [HKEY_CLASSES_ROOT\Applications\photoviewer.dll\shell] [HKEY_CLASSES_ROOT\Applications\photoviewer.dll\shell\open] "MuiVerb"="@photoviewer.dll,-3043" [HKEY_CLASSES_ROOT\Applications\photoviewer.dll\shell\open\command] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,75,00,\ 6e,00,64,00,6c,00,6c,00,33,00,32,00,2e,00,65,00,78,00,65,00,20,00,22,00,25,\ 00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,00,6c,00,65,00,73,00,\ 25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,50,00,68,00,6f,\ 00,74,00,6f,00,20,00,56,00,69,00,65,00,77,00,65,00,72,00,5c,00,50,00,68,00,\ 6f,00,74,00,6f,00,56,00,69,00,65,00,77,00,65,00,72,00,2e,00,64,00,6c,00,6c,\ 00,22,00,2c,00,20,00,49,00,6d,00,61,00,67,00,65,00,56,00,69,00,65,00,77,00,\ 5f,00,46,00,75,00,6c,00,6c,00,73,00,63,00,72,00,65,00,65,00,6e,00,20,00,25,\ 00,31,00,00,00 [HKEY_CLASSES_ROOT\Applications\photoviewer.dll\shell\open\DropTarget] "Clsid"="{FFE2A43C-56B9-4bf5-9A79-CC6D4285608A}" [HKEY_CLASSES_ROOT\Applications\photoviewer.dll\shell\print] [HKEY_CLASSES_ROOT\Applications\photoviewer.dll\shell\print\command] @=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\ 00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,75,00,\ 6e,00,64,00,6c,00,6c,00,33,00,32,00,2e,00,65,00,78,00,65,00,20,00,22,00,25,\ 00,50,00,72,00,6f,00,67,00,72,00,61,00,6d,00,46,00,69,00,6c,00,65,00,73,00,\ 25,00,5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,20,00,50,00,68,00,6f,\ 00,74,00,6f,00,20,00,56,00,69,00,65,00,77,00,65,00,72,00,5c,00,50,00,68,00,\ 6f,00,74,00,6f,00,56,00,69,00,65,00,77,00,65,00,72,00,2e,00,64,00,6c,00,6c,\ 00,22,00,2c,00,20,00,49,00,6d,00,61,00,67,00,65,00,56,00,69,00,65,00,77,00,\ 5f,00,46,00,75,00,6c,00,6c,00,73,00,63,00,72,00,65,00,65,00,6e,00,20,00,25,\ 00,31,00,00,00 [HKEY_CLASSES_ROOT\Applications\photoviewer.dll\shell\print\DropTarget] "Clsid"="{60fd46de-f830-4894-a628-6fa81bc0190d}"

引用元:tenforums.com

Windows BitLocker

BitLockerの概要

  • ボリューム暗号化用の鍵「FVEK(Full Volume Encryption Key)」とFVEKを暗号化する鍵「VMK(Volume Master Key)と」の2種類の鍵を使用する
  • ボリュームの暗号化、FVEKの暗号化にはAESが使用される
  • VMKの暗号化に使用されるキーの種類
    キーの種類
    内容
    TPM(Trusted Platform Module)
    • BitLockerを有効にするために原則必須
    • 他の種類の保護をしていない場合、PCを起動すると自動的に読み込まれ、ドライブの暗号化が解除される
    PINコード
    • 4〜20桁の数字のみパスワード
    • TPMと合わせてのみ使用可能
    • デフォルトは4桁
    拡張PIN
    • 英数字のパスワード
    • TPMと合わせてのみ使用可能
    スタートアップキー
    • ロック解除用ファイル(.bek:Bitlocker Encryption Key)を保存したUSB等に保存
    • 起動時にUSB等を挿して解除する
    • 単独でも使用可能で、TPMと合わせて使用することも可能
    数値パスワード(Numerical Password)
    • ロックアウト時等に入力して解除する為のパスワード
    • 8桁の数字ブロックを6個入力する(合計48桁)
    • BitLocker暗号化時に外部媒体への保存、Microsoftアカウントへの保存、印刷のいずれかにより保存する
    • 画面上では「回復キー」と表記される
  • VMKの暗号化の解除方法(認証方法)
    認証方法
    内容
    TPM(Trusted Platform Module)のみ
    • 初期ブートコンポーネントを検証する
    • PCを起動すると自動的に読み込まれ、ドライブの暗号化が解除される
    TPM + PIN
    • 初期ブートコンポーネントを検証する
    • ドライブの暗号化を解除する前にPINを入力する
    • 誤ったPINを繰り返し入力するとアカウントがロックされる
    • 指定桁数入力するとEnterキー等を押すことなく認証処理に入る
    TPM + ネットワークキー
    • 初期ブートコンポーネントを検証する
    • サーバから提供されるネットワークキーで暗号化が解除される
    スタートアップキーのみ
    • 外部媒体に保存されたスタートアップキーで暗号化が解除される
    TPM + スタートアップキー
    • 初期ブートコンポーネントを検証する
    • 外部媒体に保存されたスタートアップキーで暗号化が解除される
    数値パスワード(Numerical Password)
    • 上記のとおり

BitLocker管理ツール

ボリュームステータスの確認

> manage-bde -status

回復キーを取得する

> manage-bde -protectors -get c:

イベントログ

イベントログファイルの場所

%SystemRoot%\System32\winevt\Logs\
通常は「C:\Windows\System32\winevt\Logs\」

イベントログレコード

  • イベントログファイル内のログを「レコード」と呼ぶ
  • イベントログに記録される日時(Event Time)はイベントログが記録された日時(イベントが発生した日時ではないことに注意)
  • イベントログサービスの不具合等で日時が前後して記録される場合がある
  • レコードには「EventRecordID」があり、レコードの作成順に番号が付与される
  • 日時に不整合がある場合は「EventRecordID」を確認することでイベントの発生順を確認できる(XMLで表示)

Microsoft Docs

Technology Summary for Reading and Managing Event Logs

EventLogRecord Class

レジストリ

レジストリのASEP(Autostart Extensibility Points)

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
  • HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKLMのほかHKCUにも存在する

レジストリ設定値の確認

>get query HKLM\Softwre\Microsoft\Windows\CurrentVersion\Run

Return to Top of Page