Windows Artifacts
Last updated
Last updated
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Im Pfad \Users\<username>\AppData\Local\Microsoft\Windows\Notifications
finden Sie die Datenbank appdb.dat
(vor dem Windows-Jubiläum) oder wpndatabase.db
(nach dem Windows-Jubiläum).
In dieser SQLite-Datenbank finden Sie die Tabelle Notification
mit allen Benachrichtigungen (im XML-Format), die interessante Daten enthalten können.
Die Zeitachse ist ein Windows-Feature, das eine chronologische Historie der besuchten Webseiten, bearbeiteten Dokumente und ausgeführten Anwendungen bereitstellt.
Die Datenbank befindet sich im Pfad \Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db
. Diese Datenbank kann mit einem SQLite-Tool oder mit dem Tool WxTCmd geöffnet werden, das 2 Dateien generiert, die mit dem Tool TimeLine Explorer geöffnet werden können.
Heruntergeladene Dateien können den ADS Zone.Identifier enthalten, der angibt, wie sie heruntergeladen wurden, z. B. aus dem Intranet, Internet usw. Einige Software (wie Browser) fügt normalerweise sogar mehr Informationen wie die URL hinzu, von der die Datei heruntergeladen wurde.
Im Vista/Win7/Win8/Win10 befindet sich der Papierkorb im Ordner $Recycle.bin
im Stammverzeichnis des Laufwerks (C:\$Recycle.bin
).
Wenn eine Datei in diesem Ordner gelöscht wird, werden 2 spezifische Dateien erstellt:
$I{id}
: Dateiinformationen (Datum, an dem sie gelöscht wurde)
$R{id}
: Inhalt der Datei
Mit diesen Dateien können Sie das Tool Rifiuti verwenden, um die ursprüngliche Adresse der gelöschten Dateien und das Datum, an dem sie gelöscht wurden, zu erhalten (verwenden Sie rifiuti-vista.exe
für Vista – Win10).
Shadow Copy ist eine Technologie, die in Microsoft Windows enthalten ist und Sicherungs kopien oder Schnappschüsse von Computerdateien oder -volumes erstellen kann, selbst wenn sie verwendet werden.
Diese Sicherungen befinden sich normalerweise im \System Volume Information
im Wurzelverzeichnis des Dateisystems, und der Name besteht aus UIDs, die im folgenden Bild angezeigt werden:
Durch das Einbinden des forensischen Images mit dem ArsenalImageMounter kann das Tool ShadowCopyView verwendet werden, um eine Schattenkopie zu inspizieren und sogar die Dateien aus den Schattenkopie-Sicherungen extrahieren.
Der Registrierungseintrag HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore
enthält die Dateien und Schlüssel die nicht gesichert werden sollen:
Die Registrierung HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS
enthält ebenfalls Konfigurationsinformationen über die Volume Shadow Copies
.
Die automatisch gespeicherten Office-Dateien finden Sie unter: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\
Ein Shell-Element ist ein Element, das Informationen darüber enthält, wie auf eine andere Datei zugegriffen werden kann.
Windows erstellt automatisch diese Verknüpfungen, wenn der Benutzer eine Datei öffnet, verwendet oder erstellt in:
Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
Office: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\
Wenn ein Ordner erstellt wird, wird auch ein Link zu dem Ordner, dem übergeordneten Ordner und dem Großelternordner erstellt.
Diese automatisch erstellten Linkdateien enthalten Informationen über den Ursprung, wie ob es sich um eine Datei oder einen Ordner handelt, MAC Zeiten dieser Datei, Volumeninformationen, wo die Datei gespeichert ist, und Ordner der Zieldatei. Diese Informationen können nützlich sein, um diese Dateien wiederherzustellen, falls sie entfernt wurden.
Außerdem ist das Erstellungsdatum des Links die erste Zeit, zu der die Originaldatei zum ersten Mal verwendet wurde, und das Änderungsdatum der Linkdatei ist die letzte Zeit, zu der die Ursprungsdatei verwendet wurde.
Um diese Dateien zu inspizieren, können Sie LinkParser verwenden.
In diesem Tool finden Sie 2 Sätze von Zeitstempeln:
Erster Satz:
FileModifiedDate
FileAccessDate
FileCreationDate
Zweiter Satz:
LinkModifiedDate
LinkAccessDate
LinkCreationDate.
Der erste Satz von Zeitstempeln bezieht sich auf die Zeitstempel der Datei selbst. Der zweite Satz bezieht sich auf die Zeitstempel der verlinkten Datei.
Sie können die gleichen Informationen erhalten, indem Sie das Windows-CLI-Tool: LECmd.exe ausführen.
In diesem Fall werden die Informationen in einer CSV-Datei gespeichert.
Dies sind die zuletzt verwendeten Dateien, die pro Anwendung angezeigt werden. Es ist die Liste der zuletzt von einer Anwendung verwendeten Dateien, auf die Sie in jeder Anwendung zugreifen können. Sie können automatisch oder benutzerdefiniert erstellt werden.
Die jumplists, die automatisch erstellt werden, werden in C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\
gespeichert. Die jumplists sind nach dem Format {id}.autmaticDestinations-ms
benannt, wobei die ursprüngliche ID die ID der Anwendung ist.
Die benutzerdefinierten jumplists werden in C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\
gespeichert und werden normalerweise von der Anwendung erstellt, weil etwas Wichtiges mit der Datei passiert ist (vielleicht als Favorit markiert).
Die Erstellungszeit einer jumplist gibt die erste Zugriffszeit auf die Datei und die Änderungszeit der letzten Zugriffszeit an.
Sie können die jumplists mit JumplistExplorer inspizieren.
(Beachten Sie, dass die von JumplistExplorer bereitgestellten Zeitstempel sich auf die jumplist-Datei selbst beziehen)
Folgen Sie diesem Link, um zu erfahren, was die Shellbags sind.
Es ist möglich zu identifizieren, dass ein USB-Gerät verwendet wurde, dank der Erstellung von:
Windows Recent Folder
Microsoft Office Recent Folder
Jumplists
Beachten Sie, dass einige LNK-Dateien anstelle des ursprünglichen Pfads auf den WPDNSE-Ordner verweisen:
Die Dateien im WPDNSE-Ordner sind eine Kopie der ursprünglichen, überstehen also keinen Neustart des PCs, und die GUID wird aus einem Shellbag entnommen.
Überprüfen Sie diese Seite, um zu erfahren, welche Registrierungs-Schlüssel interessante Informationen über angeschlossene USB-Geräte enthalten.
Überprüfen Sie die Datei C:\Windows\inf\setupapi.dev.log
, um die Zeitstempel zu erhalten, wann die USB-Verbindung hergestellt wurde (suchen Sie nach Section start
).
USBDetective kann verwendet werden, um Informationen über die USB-Geräte zu erhalten, die mit einem Image verbunden wurden.
Die geplante Aufgabe, die als 'Plug and Play Cleanup' bekannt ist, dient hauptsächlich der Entfernung veralteter Treiberversionen. Entgegen ihrem angegebenen Zweck, die neueste Treiberpaketversion beizubehalten, deuten Online-Quellen darauf hin, dass sie auch Treiber anvisiert, die in den letzten 30 Tagen inaktiv waren. Folglich können Treiber für abnehmbare Geräte, die in den letzten 30 Tagen nicht verbunden waren, gelöscht werden.
Die Aufgabe befindet sich unter folgendem Pfad: C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup
.
Ein Screenshot, der den Inhalt der Aufgabe zeigt, ist bereitgestellt:
Hauptkomponenten und Einstellungen der Aufgabe:
pnpclean.dll: Diese DLL ist für den eigentlichen Bereinigungsprozess verantwortlich.
UseUnifiedSchedulingEngine: Auf TRUE
gesetzt, was die Verwendung der generischen Aufgabenplanungs-Engine anzeigt.
MaintenanceSettings:
Period ('P1M'): Weist den Aufgabenplaner an, die Bereinigungsaufgabe monatlich während der regulären automatischen Wartung zu starten.
Deadline ('P2M'): Weist den Aufgabenplaner an, falls die Aufgabe zwei aufeinanderfolgende Monate fehlschlägt, die Aufgabe während der Notfallautomatik-Wartung auszuführen.
Diese Konfiguration gewährleistet eine regelmäßige Wartung und Bereinigung der Treiber, mit Bestimmungen für einen erneuten Versuch der Aufgabe im Falle aufeinanderfolgender Fehler.
Für weitere Informationen siehe: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html
E-Mails enthalten 2 interessante Teile: Die Header und den Inhalt der E-Mail. In den Headern finden Sie Informationen wie:
Wer die E-Mails gesendet hat (E-Mail-Adresse, IP, Mail-Server, die die E-Mail umgeleitet haben)
Wann die E-Mail gesendet wurde
Außerdem finden Sie in den Headern References
und In-Reply-To
die ID der Nachrichten:
Diese Anwendung speichert E-Mails in HTML oder Text. Sie finden die E-Mails in Unterordnern unter \Users\<username>\AppData\Local\Comms\Unistore\data\3\
. Die E-Mails werden mit der Erweiterung .dat
gespeichert.
Die Metadaten der E-Mails und die Kontakte können in der EDB-Datenbank gefunden werden: \Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol
Ändern Sie die Erweiterung der Datei von .vol
in .edb
, und Sie können das Tool ESEDatabaseView verwenden, um es zu öffnen. In der Message
-Tabelle können Sie die E-Mails sehen.
Wenn Exchange-Server oder Outlook-Clients verwendet werden, gibt es einige MAPI-Header:
Mapi-Client-Submit-Time
: Zeit des Systems, als die E-Mail gesendet wurde
Mapi-Conversation-Index
: Anzahl der Kindnachrichten des Threads und Zeitstempel jeder Nachricht des Threads
Mapi-Entry-ID
: Nachrichtenidentifikator.
Mappi-Message-Flags
und Pr_last_Verb-Executed
: Informationen über den MAPI-Client (Nachricht gelesen? nicht gelesen? geantwortet? umgeleitet? nicht im Büro?)
Im Microsoft Outlook-Client werden alle gesendeten/empfangenen Nachrichten, Kontaktdaten und Kalenderdaten in einer PST-Datei gespeichert in:
%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook
(WinXP)
%USERPROFILE%\AppData\Local\Microsoft\Outlook
Der Registrierungs-Pfad HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook
zeigt die verwendete Datei an.
Sie können die PST-Datei mit dem Tool Kernel PST Viewer öffnen.
Eine OST-Datei wird von Microsoft Outlook erstellt, wenn es mit einem IMAP- oder Exchange-Server konfiguriert ist und ähnliche Informationen wie eine PST-Datei speichert. Diese Datei wird mit dem Server synchronisiert und behält Daten für die letzten 12 Monate bis zu einer maximalen Größe von 50 GB und befindet sich im selben Verzeichnis wie die PST-Datei. Um eine OST-Datei anzuzeigen, kann der Kernel OST Viewer verwendet werden.
Verlorene Anhänge könnten wiederhergestellt werden aus:
Für IE10: %APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook
Für IE11 und höher: %APPDATA%\Local\Microsoft\InetCache\Content.Outlook
Thunderbird verwendet MBOX-Dateien, um Daten zu speichern, die sich unter \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles
befinden.
Windows XP und 8-8.1: Der Zugriff auf einen Ordner mit Thumbnails erzeugt eine thumbs.db
-Datei, die Bildvorschauen speichert, selbst nach der Löschung.
Windows 7/10: thumbs.db
wird erstellt, wenn über ein Netzwerk über UNC-Pfad zugegriffen wird.
Windows Vista und neuer: Thumbnail-Vorschauen sind zentral in %userprofile%\AppData\Local\Microsoft\Windows\Explorer
mit Dateien namens thumbcache_xxx.db gespeichert. Thumbsviewer und ThumbCache Viewer sind Tools zum Anzeigen dieser Dateien.
Die Windows-Registrierung, die umfangreiche System- und Benutzeraktivitätsdaten speichert, befindet sich in Dateien in:
%windir%\System32\Config
für verschiedene HKEY_LOCAL_MACHINE
-Unterkeys.
%UserProfile%{User}\NTUSER.DAT
für HKEY_CURRENT_USER
.
Windows Vista und spätere Versionen sichern die HKEY_LOCAL_MACHINE
-Registrierungsdateien in %Windir%\System32\Config\RegBack\
.
Darüber hinaus werden Informationen zur Programmausführung in %UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT
ab Windows Vista und Windows 2008 Server gespeichert.
Einige Tools sind nützlich, um die Registrierungsdateien zu analysieren:
Registrierungs-Editor: Es ist in Windows installiert. Es ist eine GUI, um durch die Windows-Registrierung der aktuellen Sitzung zu navigieren.
Registry Explorer: Es ermöglicht Ihnen, die Registrierungsdatei zu laden und durch sie mit einer GUI zu navigieren. Es enthält auch Lesezeichen, die Schlüssel mit interessanten Informationen hervorheben.
RegRipper: Es hat ebenfalls eine GUI, die es ermöglicht, durch die geladene Registrierung zu navigieren und enthält auch Plugins, die interessante Informationen innerhalb der geladenen Registrierung hervorheben.
Windows Registry Recovery: Eine weitere GUI-Anwendung, die in der Lage ist, wichtige Informationen aus der geladenen Registrierung zu extrahieren.
Wenn ein Schlüssel gelöscht wird, wird er als solcher markiert, aber bis der Platz, den er einnimmt, benötigt wird, wird er nicht entfernt. Daher ist es mit Tools wie Registry Explorer möglich, diese gelöschten Schlüssel wiederherzustellen.
Jeder Schlüssel-Wert enthält einen Zeitstempel, der die letzte Änderungszeit angibt.
Die Datei/Hive SAM enthält die Benutzer, Gruppen und Benutzerpasswort-Hashes des Systems.
In SAM\Domains\Account\Users
können Sie den Benutzernamen, die RID, die letzte Anmeldung, die letzte fehlgeschlagene Anmeldung, den Anmeldezähler, die Passwort-Richtlinie und wann das Konto erstellt wurde, abrufen. Um die Hashes zu erhalten, benötigen Sie auch die Datei/Hive SYSTEM.
In diesem Beitrag können Sie mehr über die gängigen Windows-Prozesse erfahren, um verdächtiges Verhalten zu erkennen.
Innerhalb der Registrierung NTUSER.DAT
im Pfad Software\Microsoft\Current Version\Search\RecentApps
finden Sie Unterkeys mit Informationen über die ausgeführte Anwendung, letzte Ausführungszeit und Anzahl der Starts.
Sie können die SYSTEM
-Datei mit einem Registrierungseditor öffnen und im Pfad SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}
finden Sie Informationen über die von jedem Benutzer ausgeführten Anwendungen (beachten Sie das {SID}
im Pfad) und wann sie ausgeführt wurden (die Zeit befindet sich im Datenwert der Registrierung).
Prefetching ist eine Technik, die es einem Computer ermöglicht, stillschweigend die notwendigen Ressourcen abzurufen, die benötigt werden, um Inhalte anzuzeigen, auf die ein Benutzer in naher Zukunft zugreifen könnte, damit Ressourcen schneller abgerufen werden können.
Windows Prefetch besteht darin, Caches der ausgeführten Programme zu erstellen, um sie schneller laden zu können. Diese Caches werden als .pf
-Dateien im Pfad C:\Windows\Prefetch
erstellt. Es gibt eine Begrenzung von 128 Dateien in XP/VISTA/WIN7 und 1024 Dateien in Win8/Win10.
Der Dateiname wird als {program_name}-{hash}.pf
erstellt (der Hash basiert auf dem Pfad und den Argumenten der ausführbaren Datei). In W10 sind diese Dateien komprimiert. Beachten Sie, dass die bloße Anwesenheit der Datei anzeigt, dass das Programm zu einem bestimmten Zeitpunkt ausgeführt wurde.
Die Datei C:\Windows\Prefetch\Layout.ini
enthält die Namen der Ordner der Dateien, die vorab geladen werden. Diese Datei enthält Informationen über die Anzahl der Ausführungen, Daten der Ausführung und Dateien, die vom Programm geöffnet wurden.
Um diese Dateien zu inspizieren, können Sie das Tool PEcmd.exe verwenden:
Superprefetch hat dasselbe Ziel wie Prefetch, Programme schneller zu laden, indem vorhergesagt wird, was als Nächstes geladen wird. Es ersetzt jedoch nicht den Prefetch-Dienst.
Dieser Dienst generiert Datenbankdateien in C:\Windows\Prefetch\Ag*.db
.
In diesen Datenbanken finden Sie den Namen des Programms, die Anzahl der Ausführungen, die geöffneten Dateien, das zugreifende Volumen, den kompletten Pfad, Zeitrahmen und Zeitstempel.
Sie können auf diese Informationen mit dem Tool CrowdResponse zugreifen.
System Resource Usage Monitor (SRUM) überwacht die Ressourcen, die von einem Prozess verbraucht werden. Es erschien in W8 und speichert die Daten in einer ESE-Datenbank, die sich in C:\Windows\System32\sru\SRUDB.dat
befindet.
Es gibt die folgenden Informationen:
AppID und Pfad
Benutzer, der den Prozess ausgeführt hat
Gesendete Bytes
Empfangene Bytes
Netzwerk-Schnittstelle
Verbindungsdauer
Prozessdauer
Diese Informationen werden alle 60 Minuten aktualisiert.
Sie können das Datum aus dieser Datei mit dem Tool srum_dump abrufen.
Der AppCompatCache, auch bekannt als ShimCache, ist Teil der Application Compatibility Database, die von Microsoft entwickelt wurde, um Probleme mit der Anwendungskompatibilität zu beheben. Diese Systemkomponente zeichnet verschiedene Stücke von Dateimetadaten auf, die Folgendes umfassen:
Vollständiger Pfad der Datei
Größe der Datei
Letzte Änderungszeit unter $Standard_Information (SI)
Letzte Aktualisierungszeit des ShimCache
Prozessausführungsflag
Solche Daten werden in der Registrierung an bestimmten Orten basierend auf der Version des Betriebssystems gespeichert:
Für XP werden die Daten unter SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache
mit einer Kapazität von 96 Einträgen gespeichert.
Für Server 2003 sowie für die Windows-Versionen 2008, 2012, 2016, 7, 8 und 10 ist der Speicherpfad SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache
, der jeweils 512 und 1024 Einträge aufnehmen kann.
Um die gespeicherten Informationen zu analysieren, wird das AppCompatCacheParser-Tool empfohlen.
Die Amcache.hve-Datei ist im Wesentlichen ein Registrierungs-Hive, der Details über Anwendungen protokolliert, die auf einem System ausgeführt wurden. Sie befindet sich typischerweise unter C:\Windows\AppCompat\Programas\Amcache.hve
.
Diese Datei ist bemerkenswert, da sie Aufzeichnungen über kürzlich ausgeführte Prozesse speichert, einschließlich der Pfade zu den ausführbaren Dateien und deren SHA1-Hashes. Diese Informationen sind von unschätzbarem Wert, um die Aktivität von Anwendungen auf einem System zu verfolgen.
Um die Daten aus Amcache.hve zu extrahieren und zu analysieren, kann das AmcacheParser-Tool verwendet werden. Der folgende Befehl ist ein Beispiel dafür, wie man AmcacheParser verwendet, um den Inhalt der Amcache.hve-Datei zu parsen und die Ergebnisse im CSV-Format auszugeben:
Unter den generierten CSV-Dateien ist die Amcache_Unassociated file entries
besonders bemerkenswert, da sie reichhaltige Informationen über nicht zugeordnete Dateieinträge bietet.
Die interessanteste CVS-Datei, die generiert wurde, ist die Amcache_Unassociated file entries
.
Dieses Artefakt ist nur in W7 unter C:\Windows\AppCompat\Programs\RecentFileCache.bcf
zu finden und enthält Informationen über die kürzliche Ausführung einiger Binärdateien.
Sie können das Tool RecentFileCacheParse verwenden, um die Datei zu analysieren.
Sie können sie aus C:\Windows\Tasks
oder C:\Windows\System32\Tasks
extrahieren und als XML lesen.
Sie finden sie in der Registrierung unter SYSTEM\ControlSet001\Services
. Sie können sehen, was ausgeführt wird und wann.
Die installierten Anwendungen finden Sie in \ProgramData\Microsoft\Windows\AppRepository\
Dieses Repository hat ein Log mit jeder installierten Anwendung im System innerhalb der Datenbank StateRepository-Machine.srd
.
In der Anwendungstabelle dieser Datenbank ist es möglich, die Spalten: "Application ID", "PackageNumber" und "Display Name" zu finden. Diese Spalten enthalten Informationen über vorinstallierte und installierte Anwendungen und es kann festgestellt werden, ob einige Anwendungen deinstalliert wurden, da die IDs der installierten Anwendungen sequenziell sein sollten.
Es ist auch möglich, installierte Anwendungen im Registrierungspfad: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\
Und deinstallierte Anwendungen in: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\
zu finden.
Informationen, die in Windows-Ereignissen erscheinen, sind:
Was passiert ist
Zeitstempel (UTC + 0)
Beteiligte Benutzer
Beteiligte Hosts (Hostname, IP)
Zugängliche Assets (Dateien, Ordner, Drucker, Dienste)
Die Protokolle befinden sich in C:\Windows\System32\config
vor Windows Vista und in C:\Windows\System32\winevt\Logs
nach Windows Vista. Vor Windows Vista waren die Ereignisprotokolle im Binärformat und danach sind sie im XML-Format und verwenden die .evtx-Erweiterung.
Der Speicherort der Ereignisdateien kann in der SYSTEM-Registrierung unter HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}
gefunden werden.
Sie können sie über die Windows-Ereignisanzeige (eventvwr.msc
) oder mit anderen Tools wie Event Log Explorer oder Evtx Explorer/EvtxECmd** visualisieren.**
Zugriffsereignisse werden in der Sicherheitskonfigurationsdatei aufgezeichnet, die sich unter C:\Windows\System32\winevt\Security.evtx
befindet. Die Größe dieser Datei ist anpassbar, und wenn ihre Kapazität erreicht ist, werden ältere Ereignisse überschrieben. Aufgezeichnete Ereignisse umfassen Benutzeranmeldungen und -abmeldungen, Benutzeraktionen und Änderungen an Sicherheitseinstellungen sowie den Zugriff auf Dateien, Ordner und gemeinsame Assets.
EventID 4624: Zeigt an, dass ein Benutzer erfolgreich authentifiziert wurde.
EventID 4625: Signalisiert einen Authentifizierungsfehler.
EventIDs 4634/4647: Stellen Benutzerabmeldeereignisse dar.
EventID 4672: Bezeichnet die Anmeldung mit administrativen Rechten.
Interaktiv (2): Direkte Benutzeranmeldung.
Netzwerk (3): Zugriff auf freigegebene Ordner.
Batch (4): Ausführung von Batch-Prozessen.
Dienst (5): Dienststarts.
Proxy (6): Proxy-Authentifizierung.
Entsperren (7): Bildschirm mit einem Passwort entsperrt.
Netzwerk-Klartext (8): Übertragung von Klartextpasswörtern, oft von IIS.
Neue Anmeldeinformationen (9): Verwendung anderer Anmeldeinformationen für den Zugriff.
Remote-Interaktiv (10): Remote-Desktop- oder Terminaldienste-Anmeldung.
Cache-Interaktiv (11): Anmeldung mit zwischengespeicherten Anmeldeinformationen ohne Kontakt zum Domänencontroller.
Cache-Remote-Interaktiv (12): Remote-Anmeldung mit zwischengespeicherten Anmeldeinformationen.
Zwischengespeichertes Entsperren (13): Entsperren mit zwischengespeicherten Anmeldeinformationen.
0xC0000064: Benutzername existiert nicht - Könnte auf einen Benutzernamen-Enumeration-Angriff hinweisen.
0xC000006A: Richtiger Benutzername, aber falsches Passwort - Möglicher Passwort-Ratenangriff oder Brute-Force-Versuch.
0xC0000234: Benutzerkonto gesperrt - Kann einem Brute-Force-Angriff folgen, der zu mehreren fehlgeschlagenen Anmeldungen führt.
0xC0000072: Konto deaktiviert - Unbefugte Versuche, auf deaktivierte Konten zuzugreifen.
0xC000006F: Anmeldung außerhalb der erlaubten Zeit - Zeigt Versuche an, außerhalb der festgelegten Anmeldezeiten zuzugreifen, ein mögliches Zeichen für unbefugten Zugriff.
0xC0000070: Verletzung der Arbeitsplatzbeschränkungen - Könnte ein Versuch sein, sich von einem unbefugten Standort anzumelden.
0xC0000193: Konto abgelaufen - Zugriffsversuche mit abgelaufenen Benutzerkonten.
0xC0000071: Abgelaufenes Passwort - Anmeldeversuche mit veralteten Passwörtern.
0xC0000133: Zeit-Synchronisierungsprobleme - Große Zeitabweichungen zwischen Client und Server können auf ausgeklügeltere Angriffe wie Pass-the-Ticket hinweisen.
0xC0000224: Pflichtänderung des Passworts erforderlich - Häufige Pflichtänderungen könnten auf einen Versuch hinweisen, die Kontosicherheit zu destabilisieren.
0xC0000225: Zeigt einen Systemfehler an, nicht ein Sicherheitsproblem.
0xC000015b: Verweigerter Anmeldetyp - Zugriffsversuch mit unbefugtem Anmeldetyp, z. B. ein Benutzer, der versucht, einen Dienstanmeldetyp auszuführen.
Zeitänderung: Änderung der Systemzeit, könnte den Zeitablauf der Ereignisse verschleiern.
Systemstart und -herunterfahren: EventID 6005 zeigt den Systemstart an, während EventID 6006 das Herunterfahren markiert.
Protokolllöschung: Sicherheitsprotokolle werden gelöscht, was oft ein Warnsignal für das Vertuschen illegaler Aktivitäten ist.
20001 / 20003 / 10000: Erste Verbindung des USB-Geräts.
10100: USB-Treiberaktualisierung.
EventID 112: Zeitpunkt des Einsteckens des USB-Geräts.
Für praktische Beispiele zur Simulation dieser Anmeldetypen und Möglichkeiten zum Abrufen von Anmeldeinformationen siehe Altered Securitys detaillierte Anleitung.
Ereignisdetails, einschließlich Status- und Unterstatuscodes, bieten weitere Einblicke in die Ursachen von Ereignissen, insbesondere bemerkenswert in Event ID 4625.
Um die Chancen auf die Wiederherstellung gelöschter Windows-Ereignisse zu erhöhen, ist es ratsam, den verdächtigen Computer durch direktes Abziehen vom Stromnetz herunterzufahren. Bulk_extractor, ein Wiederherstellungstool, das die Erweiterung .evtx
angibt, wird empfohlen, um solche Ereignisse wiederherzustellen.
Für einen umfassenden Leitfaden zur Nutzung von Windows-Ereignis-IDs zur Identifizierung häufiger Cyberangriffe besuchen Sie Red Team Recipe.
Erkennbar an mehreren EventID 4625-Datensätzen, gefolgt von einer EventID 4624, wenn der Angriff erfolgreich ist.
Aufgezeichnet durch EventID 4616 können Änderungen an der Systemzeit die forensische Analyse erschweren.
Nützliche System-Ereignis-IDs zur Verfolgung von USB-Geräten sind 20001/20003/10000 für die erste Nutzung, 10100 für Treiberaktualisierungen und EventID 112 von DeviceSetupManager für Einsteckzeitstempel.
EventID 6005 zeigt den Systemstart an, während EventID 6006 das Herunterfahren markiert.
Sicherheits-EreignisID 1102 signalisiert die Löschung von Protokollen, ein kritisches Ereignis für die forensische Analyse.
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)