ConsoleHost_history.txt
해당 로그 확인 시, 해당 유저가 사용한 Powershell 명령어 로그를 확인할 수 있다.
Powershell 명령어로도 확인 가능 (Get-History)
경로
%USER_PROFILES%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt
Event 로그
로컬 Powershell 실행
- Windows PowerShell.evtx
- EID 400 : 로컬이든 원격이든 PowerShell 활동 시작
- EID 403 : PowerShell 활동 완료
- EID 600 : WSMan과 같은 provider가 시스템에서 Powershell 활동 수행
- Microsoft-Windows-PowerShell/Operational.evtx
- Powershell 2.0은 없음
- Microsoft-Windows-PowerShell/Analytic.etl
- EID 32850
- EID 32867/32868
- EID 142
원격 Powershell 실행
- Microsoft-Windows-WinRM/Operational.evtx
- EID 6
- EID 169
- EID 142
- Microsoft-Windows-WinRM/Analytic.etl
Ref
반응형
'Digital Forensic > Cheat Sheet' 카테고리의 다른 글
| [Cheat Sheet] RDP 아티팩트 (0) | 2022.12.16 |
|---|---|
| [Cheat Sheet] 파일 실행 아티팩트 (0) | 2022.10.20 |
| [Cheat Sheet] Registry (0) | 2022.10.12 |