Digital Forensic/Cheat Sheet

[Cheat Sheet] Powershell 흔적

asvv 2022. 10. 12. 16:01

ConsoleHost_history.txt

해당 로그 확인 시, 해당 유저가 사용한 Powershell 명령어 로그를 확인할 수 있다.

Powershell 명령어로도 확인 가능 (Get-History)

경로

%USER_PROFILES%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

 

Event 로그

로컬 Powershell 실행

  • Windows PowerShell.evtx
    • EID 400 : 로컬이든 원격이든 PowerShell 활동 시작
    • EID 403 : PowerShell 활동 완료
    • EID 600 : WSMan과 같은 provider가 시스템에서 Powershell 활동 수행
  • Microsoft-Windows-PowerShell/Operational.evtx
    • Powershell 2.0은 없음
  • Microsoft-Windows-PowerShell/Analytic.etl
    • EID 32850
    • EID 32867/32868
    • EID 142

원격 Powershell 실행

  • Microsoft-Windows-WinRM/Operational.evtx
    • EID 6
    • EID 169
    • EID 142
  • Microsoft-Windows-WinRM/Analytic.etl

Ref

반응형
저작자표시 (새창열림)