• 保存パス
• 参考情報

Windows10のPowershell 5.0からコマンド履歴が保存されるようになったようです。 Linuxの.bash_historyのようなものです。

保存パス

以下のファイルに入力したコマンドが保存されます。

.bash_historyと違い実行した瞬間に更新されるようです。

ファイルパス

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

ファイルの中身

dir
ipconfig
ping 8.8.8.8
cme.exe
exit

最後のコマンドを実行した日時が更新日時になりますが、そのほかのコマンドは実行時間が記載されないため不明です。

参考情報

https://digital-forensics.sans.org/media/SANS_Poster_2018_Hunt_Evil_FINAL.pdf

PowerShell の入力履歴