Task 1
Question 1
コマンドプロンプトから以下のいずれかのコマンドで確認。
- winverの結果。
- systeminfoの結果。
Question 2 - 3
まずはローカルユーザを確認。
C:\> net user # コマンドプロンプト PS> Get-LocalUser # Powershell
ラストログイン情報を確認する。
use userコマンドの場合
net user Administrator (省略) Last logon 10/26/0222 xx:xx:xx AM
Posershellの場合
Get-LocalUser | Select Name, LastLogon
Question 4
regeditで以下のレジストリを確認。
HKLM\SOFTWARE\Microsoft\Windows\Current\Version\Run
もしくは以下のコマンドで確認。
C:\> reg query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" PS> Get-Itemproperty -path "Registry::HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"
Question 5
net localgroup Administrators
Question 6 - 8
タスクスケジューラで確認。
Question 9
net user jenny
Question 10
タスクスケジューラで「Triggers」の列を確認。
Question 11
「special privilleges new logon evnet id」で調べてみるとID4672がヒットする。イベントビューアのセキュリティログで「4672」フィルタし結果を確認。
Question 12
タスクスケジューラに登録されている中にタスク名が「GameOver」というのがあるので、そのアクションタブを確認。
C:\TMP\min.exeを起動してその結果をリダイレクトでファイルに書き出している。リダイレクトの出力先「o.txt」は無いが「min-out.txt」というファイルがあったので中身を確認する。
Question 13
C:\Windows\System32\drivers\etc\hosts ファイルを確認する。
Question 14
Webサーバということなので、IISのフォルダ(C:\inetpub\wwwwroot)を確認する。
Question 15
Question 16
C:\Windows\System32\drivers\etc\hosts ファイルを確認する。