Hello there, ('ω')ノ
アトミック テストを実行した後は。
アトミック テストで定義されたクリーンアップ コマンドを実行して。
システムをリセットし、テストを再度実行する準備をして。
一部のテストは、機密情報を含む可能性のあるファイルを作成したり。
ファイル システムを混乱させたりして。
また、安全でない設定値に変更されたり、サービスが停止したりと。
そこで、アトミック テストの多くにはクリーンナップコマンドがあって。
今回は、T1003を。
テストを実行するには、アプリケーションがインストールされている必要があるので。
CheckPrereqで、アプリケーションが存在するかどうかを確認して。
テストで、LSASS.exe メモリをダンプするには前提条件を満たす必要があって。
Invoke-AtomicTest T1003.001 -TestNumbers 2 -CheckPrereqs
アプリケーションが存在しない場合は、GetPrereqでインストールして。
Invoke-AtomicTest T1003.001 -TestNumbers 2 -GetPrereqs
再度、確認することに。
前提条件が満たされているので、テストを実行できるようになって。
Invoke-AtomicTest T1003.001 -TestNumbers 2 -CheckPrereqs
再度、テストを実行して。
Invoke-AtomicTest T1003.001 -TestNumbers 2
Windows Defenderがこの攻撃をブロックするので。
Windows Defenderを一時的に無効にする必要があるので。
Set-MpPreference -DisableRealtimeMonitoring $true
テストを実行すると下記にlsass_dumpファイルが表示されて。
C:\Windows\Temp\lsass_dump.dmp
下記で、どのような内容かの確認ができて。
cat C:\Windows\Temp\lsass_dump.dmp
テスト後にクリーンアップするには下記のフラグで。
Invoke-AtomicTest T1003.001 -TestNumbers 2 -Cleanup
クリーンアップコマンドについての例は、いくつかあって。
下記は、レジストリのクリーンアップについて。
下記は、サービスを再度有効にしての開始について。
下記は、ユーザの削除について。
下記は、プロキシの削除について。
下記は、レジストリ キーの削除について。
下記は、スケジュールされたタスクの削除について。
Best regards, (^^ゞ
