Archives

ホスト上の EDR / AV を、なるべく検知されない手段で特定するための判断フローと手段の使い分けメモ。Registry / WMI / Beacon / PowerShell / tasklist それぞれが残すログと、どれを選ぶかのトレードオフを並べた覚え書き。

Windows の NTLM 認証を Client / Server / DC のメッセージ単位で追い、Pass the Hash がなぜ成立するかを整理する。NTHash 一つあれば本物のクライアントを名乗れる根拠を、認証フローの側から読み解くメモ。

Ghostty端末で大文字入力が生のエスケープシーケンス(^[[27;2;86~)として表示される症状に遭遇。原因はmodifyOtherKeysのプロトコル不整合で、.bashrcで起動時に無効化する形に落ち着いた切り分けと対処のメモ。