Hack the Box の 「sherlocks」の問題でWindows Eventlogが渡される場合があります。
例えば、HTB sherlocksではWindowsのイベントが記録された時刻を提出する問題があります。
日本語環境のWindowsでWindowsイベントログを開くと、以下の表示になっています。
この「日付と時刻」をそのまま提出するとNGになります。
提出するのは、「UTC」時刻ですので注意してください。
フォレンジック用途でWindowsイベントログを調査する場合は、UTC時刻と日本時間等を間違えないようにしましょう。XMLで表示されているのは、UTC時刻です。
時刻の計算方法
① 純粋に時刻を-9時間する
例えば、提出する時間が日本時間の「2024-05-15 14:35:07」の場合、UTCでは日本時間の-9時間なので「2024-05-15 05:35:07」です。
② XMLで表示する
①の計算がめんどくさい場合、イベントログの詳細タブを開き、「SystemTime」を見るとUTC時刻の時間が表示されます。
ちなみにXMLで表示をすると
<TimeCreated SystemTimeにUTCの時刻が表示されます
コメント