Windows Artifacts
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
पथ \Users\<username>\AppData\Local\Microsoft\Windows\Notifications में आप डेटाबेस appdb.dat (Windows की वर्षगांठ से पहले) या wpndatabase.db (Windows की वर्षगांठ के बाद) पा सकते हैं।
इस SQLite डेटाबेस के अंदर, आप Notification तालिका पा सकते हैं जिसमें सभी सूचनाएँ (XML प्रारूप में) होती हैं जो दिलचस्प डेटा हो सकता है।
Timeline एक Windows विशेषता है जो कालानुक्रमिक इतिहास प्रदान करती है जिसमें देखी गई वेब पृष्ठ, संपादित दस्तावेज़, और निष्पादित अनुप्रयोग शामिल होते हैं।
डेटाबेस पथ \Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db में स्थित है। इस डेटाबेस को SQLite टूल या WxTCmd टूल के साथ खोला जा सकता है जो 2 फ़ाइलें उत्पन्न करता है जिन्हें TimeLine Explorer के साथ खोला जा सकता है।
डाउनलोड की गई फ़ाइलों में ADS Zone.Identifier हो सकता है जो यह बताता है कि इसे कैसे डाउनलोड किया गया था, जैसे कि इंट्रानेट, इंटरनेट, आदि। कुछ सॉफ़्टवेयर (जैसे ब्राउज़र) आमतौर पर फ़ाइल डाउनलोड करने के लिए URL जैसी और अधिक जानकारी भी डालते हैं।
Vista/Win7/Win8/Win10 में Recycle Bin फ़ोल्डर $Recycle.bin में ड्राइव की जड़ में पाया जा सकता है (C:\$Recycle.bin).
जब इस फ़ोल्डर में एक फ़ाइल हटाई जाती है, तो 2 विशिष्ट फ़ाइलें बनाई जाती हैं:
$I{id}: फ़ाइल जानकारी (जब इसे हटाया गया था)
$R{id}: फ़ाइल की सामग्री
इन फ़ाइलों के साथ, आप टूल Rifiuti का उपयोग करके हटाई गई फ़ाइलों का मूल पता और इसे हटाए जाने की तारीख प्राप्त कर सकते हैं (Vista – Win10 के लिए rifiuti-vista.exe का उपयोग करें)।
शैडो कॉपी एक तकनीक है जो Microsoft Windows में शामिल है, जो कंप्यूटर फ़ाइलों या वॉल्यूम की बैकअप कॉपियाँ या स्नैपशॉट बनाने की अनुमति देती है, भले ही वे उपयोग में हों।
ये बैकअप आमतौर पर फ़ाइल सिस्टम की जड़ से \System Volume Information में स्थित होते हैं और नाम UIDs से बना होता है, जो निम्नलिखित चित्र में दिखाए गए हैं:
ArsenalImageMounter के साथ फॉरेंसिक इमेज को माउंट करते समय, टूल ShadowCopyView का उपयोग शैडो कॉपी का निरीक्षण करने और यहां तक कि शैडो कॉपी बैकअप से फाइलें निकालने के लिए किया जा सकता है।
रजिस्ट्री प्रविष्टि HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore उन फ़ाइलों और कुंजियों को बैकअप न करने के लिए शामिल करती है:
रजिस्ट्री HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS में वॉल्यूम शैडो कॉपियाँ के बारे में कॉन्फ़िगरेशन जानकारी भी शामिल है।
आप ऑफिस ऑटोसेव्ड फ़ाइलें निम्नलिखित पते पर पा सकते हैं: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\
एक शेल आइटम एक ऐसा आइटम है जिसमें किसी अन्य फ़ाइल तक पहुँचने के तरीके के बारे में जानकारी होती है।
Windows स्वचालित रूप से इन शॉर्टकट्स को बनाता है जब उपयोगकर्ता एक फ़ाइल खोलता है, उपयोग करता है या बनाता है:
Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
ऑफिस: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\
जब एक फ़ोल्डर बनाया जाता है, तो फ़ोल्डर, पैरेंट फ़ोल्डर और दादा फ़ोल्डर के लिए एक लिंक भी बनाया जाता है।
ये स्वचालित रूप से बनाए गए लिंक फ़ाइलें उद्गम के बारे में जानकारी रखती हैं जैसे कि यह फ़ाइल या फ़ोल्डर है, उस फ़ाइल के MAC समय, फ़ाइल कहाँ संग्रहीत है उसका वॉल्यूम जानकारी और लक्षित फ़ाइल का फ़ोल्डर। यह जानकारी उन फ़ाइलों को पुनर्प्राप्त करने में सहायक हो सकती है यदि वे हटा दी गई हों।
इसके अलावा, लिंक फ़ाइल की तारीख बनाई गई मूल फ़ाइल के पहले उपयोग का पहला समय है और लिंक फ़ाइल की तारीख संशोधित मूल फ़ाइल के उपयोग का अंतिम समय है।
इन फ़ाइलों का निरीक्षण करने के लिए आप LinkParser का उपयोग कर सकते हैं।
इस टूल में आपको 2 सेट टाइमस्टैम्प मिलेंगे:
पहला सेट:
FileModifiedDate
FileAccessDate
FileCreationDate
दूसरा सेट:
LinkModifiedDate
LinkAccessDate
LinkCreationDate।
पहले सेट का टाइमस्टैम्प फ़ाइल के स्वयं के टाइमस्टैम्प को संदर्भित करता है। दूसरा सेट लिंक की गई फ़ाइल के टाइमस्टैम्प को संदर्भित करता है।
आप Windows CLI टूल: LECmd.exe चलाकर समान जानकारी प्राप्त कर सकते हैं।
In this case, the information is going to be saved inside a CSV file.
ये हाल के फ़ाइलें हैं जो प्रत्येक एप्लिकेशन के लिए निर्दिष्ट की गई हैं। यह एक एप्लिकेशन द्वारा उपयोग की गई हाल की फ़ाइलों की सूची है जिसे आप प्रत्येक एप्लिकेशन पर एक्सेस कर सकते हैं। इन्हें स्वचालित रूप से या कस्टम बनाया जा सकता है।
स्वचालित रूप से बनाए गए jumplists C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\ में संग्रहीत होते हैं। jumplists का नाम {id}.autmaticDestinations-ms प्रारूप का पालन करते हैं जहाँ प्रारंभिक ID एप्लिकेशन का ID है।
कस्टम jumplists C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\ में संग्रहीत होते हैं और इन्हें आमतौर पर एप्लिकेशन द्वारा बनाया जाता है क्योंकि फ़ाइल के साथ कुछ महत्वपूर्ण हुआ है (शायद पसंदीदा के रूप में चिह्नित किया गया है)
किसी भी jumplist का निर्माण समय फ़ाइल को पहली बार एक्सेस किए जाने का समय और संशोधित समय अंतिम बार को दर्शाता है।
आप JumplistExplorer का उपयोग करके jumplists की जांच कर सकते हैं।
(ध्यान दें कि JumplistExplorer द्वारा प्रदान किए गए टाइमस्टैम्प jumplist फ़ाइल से संबंधित हैं)
इस लिंक का पालन करें यह जानने के लिए कि shellbags क्या हैं।
यह पहचानना संभव है कि एक USB डिवाइस का उपयोग किया गया था धन्यवाद निम्नलिखित के निर्माण के लिए:
Windows Recent Folder
Microsoft Office Recent Folder
Jumplists
ध्यान दें कि कुछ LNK फ़ाइल मूल पथ की ओर इशारा करने के बजाय WPDNSE फ़ोल्डर की ओर इशारा करती हैं:
WPDNSE फ़ोल्डर में फ़ाइलें मूल फ़ाइलों की एक प्रति हैं, इसलिए ये PC के पुनरारंभ होने पर जीवित नहीं रहेंगी और GUID एक shellbag से लिया गया है।
यह पृष्ठ देखें यह जानने के लिए कि कौन से रजिस्ट्री कुंजी USB जुड़े उपकरणों के बारे में दिलचस्प जानकारी रखती हैं।
USB कनेक्शन कब उत्पन्न हुआ, इसके टाइमस्टैम्प प्राप्त करने के लिए फ़ाइल C:\Windows\inf\setupapi.dev.log की जांच करें ( Section start के लिए खोजें)।
USBDetective का उपयोग उन USB उपकरणों के बारे में जानकारी प्राप्त करने के लिए किया जा सकता है जो एक छवि से जुड़े हुए हैं।
'Plug and Play Cleanup' के रूप में ज्ञात अनुसूचित कार्य मुख्य रूप से पुराने ड्राइवर संस्करणों को हटाने के लिए डिज़ाइन किया गया है। इसके निर्दिष्ट उद्देश्य के विपरीत नवीनतम ड्राइवर पैकेज संस्करण को बनाए रखने के लिए, ऑनलाइन स्रोतों का सुझाव है कि यह 30 दिनों से निष्क्रिय ड्राइवरों को भी लक्षित करता है। परिणामस्वरूप, पिछले 30 दिनों में जुड़े नहीं होने वाले हटाने योग्य उपकरणों के ड्राइवरों को हटाने के अधीन किया जा सकता है।
यह कार्य निम्नलिखित पथ पर स्थित है: C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup.
कार्य के प्रमुख घटक और सेटिंग्स:
pnpclean.dll: यह DLL वास्तविक सफाई प्रक्रिया के लिए जिम्मेदार है।
UseUnifiedSchedulingEngine: TRUE पर सेट, सामान्य कार्य शेड्यूलिंग इंजन के उपयोग को दर्शाता है।
MaintenanceSettings:
Period ('P1M'): कार्य शेड्यूलर को नियमित स्वचालित रखरखाव के दौरान मासिक सफाई कार्य शुरू करने के लिए निर्देशित करता है।
Deadline ('P2M'): कार्य शेड्यूलर को निर्देशित करता है, यदि कार्य दो लगातार महीनों के लिए विफल रहता है, तो आपातकालीन स्वचालित रखरखाव के दौरान कार्य को निष्पादित करें।
यह कॉन्फ़िगरेशन नियमित रखरखाव और ड्राइवरों की सफाई सुनिश्चित करता है, लगातार विफलताओं के मामले में कार्य को फिर से प्रयास करने के लिए प्रावधानों के साथ।
अधिक जानकारी के लिए देखें: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html
ईमेल में 2 दिलचस्प भाग होते हैं: ईमेल के हेडर और सामग्री। हेडर में आप जानकारी पा सकते हैं जैसे:
किसने ईमेल भेजे (ईमेल पता, IP, मेल सर्वर जिन्होंने ईमेल को पुनर्निर्देशित किया)
कब ईमेल भेजा गया था
इसके अलावा, References और In-Reply-To हेडर के अंदर आप संदेशों की ID पा सकते हैं:
यह एप्लिकेशन ईमेल को HTML या टेक्स्ट में सहेजता है। आप ईमेल को \Users\<username>\AppData\Local\Comms\Unistore\data\3\ के अंदर उपफोल्डरों में पा सकते हैं। ईमेल को .dat एक्सटेंशन के साथ सहेजा जाता है।
ईमेल का मेटाडेटा और संपर्क EDB डेटाबेस के अंदर पाया जा सकता है: \Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol
फाइल का एक्सटेंशन .vol से .edb में बदलें और आप इसे खोलने के लिए ESEDatabaseView टूल का उपयोग कर सकते हैं। Message तालिका के अंदर आप ईमेल देख सकते हैं।
जब एक्सचेंज सर्वर या आउटलुक क्लाइंट का उपयोग किया जाता है, तो कुछ MAPI हेडर होंगे:
Mapi-Client-Submit-Time: सिस्टम का समय जब ईमेल भेजा गया था
Mapi-Conversation-Index: थ्रेड के बच्चों के संदेशों की संख्या और थ्रेड के प्रत्येक संदेश का टाइमस्टैम्प
Mapi-Entry-ID: संदेश पहचानकर्ता।
Mappi-Message-Flags और Pr_last_Verb-Executed: MAPI क्लाइंट के बारे में जानकारी (संदेश पढ़ा गया? नहीं पढ़ा गया? उत्तर दिया गया? पुनर्निर्देशित? कार्यालय से बाहर?)
Microsoft Outlook क्लाइंट में, सभी भेजे गए/प्राप्त संदेश, संपर्क डेटा, और कैलेंडर डेटा PST फ़ाइल में संग्रहीत होते हैं:
%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook (WinXP)
%USERPROFILE%\AppData\Local\Microsoft\Outlook
रजिस्ट्री पथ HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook उस फ़ाइल को इंगित करता है जिसका उपयोग किया जा रहा है।
आप PST फ़ाइल को खोलने के लिए Kernel PST Viewer टूल का उपयोग कर सकते हैं।
एक OST फ़ाइल Microsoft Outlook द्वारा उत्पन्न होती है जब इसे IMAP या Exchange सर्वर के साथ कॉन्फ़िगर किया जाता है, जो PST फ़ाइल के समान जानकारी संग्रहीत करती है। यह फ़ाइल सर्वर के साथ समन्वयित होती है, अंतिम 12 महीनों के लिए डेटा बनाए रखती है, अधिकतम आकार 50GB तक, और PST फ़ाइल के समान निर्देशिका में स्थित होती है। OST फ़ाइल देखने के लिए, Kernel OST viewer का उपयोग किया जा सकता है।
खोई हुई अटैचमेंट्स को पुनर्प्राप्त किया जा सकता है:
IE10 के लिए: %APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook
IE11 और ऊपर के लिए: %APPDATA%\Local\Microsoft\InetCache\Content.Outlook
Thunderbird डेटा संग्रहीत करने के लिए MBOX फ़ाइलों का उपयोग करता है, जो \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles में स्थित होती हैं।
Windows XP और 8-8.1: थंबनेल के साथ एक फ़ोल्डर तक पहुँचने पर एक thumbs.db फ़ाइल उत्पन्न होती है जो छवि पूर्वावलोकन संग्रहीत करती है, यहां तक कि हटाने के बाद भी।
Windows 7/10: thumbs.db तब बनाई जाती है जब UNC पथ के माध्यम से नेटवर्क पर एक्सेस किया जाता है।
Windows Vista और नए: थंबनेल पूर्वावलोकन %userprofile%\AppData\Local\Microsoft\Windows\Explorer में केंद्रीकृत होते हैं जिनके फ़ाइलें thumbcache_xxx.db नाम की होती हैं। Thumbsviewer और ThumbCache Viewer इन फ़ाइलों को देखने के लिए उपकरण हैं।
Windows Registry, जो व्यापक प्रणाली और उपयोगकर्ता गतिविधि डेटा संग्रहीत करता है, निम्नलिखित फ़ाइलों में निहित होता है:
विभिन्न HKEY_LOCAL_MACHINE उपकुंजी के लिए %windir%\System32\Config।
HKEY_CURRENT_USER के लिए %UserProfile%{User}\NTUSER.DAT।
Windows Vista और बाद के संस्करण HKEY_LOCAL_MACHINE रजिस्ट्री फ़ाइलों का बैकअप %Windir%\System32\Config\RegBack\ में करते हैं।
इसके अतिरिक्त, प्रोग्राम निष्पादन की जानकारी Windows Vista और Windows 2008 Server से आगे %UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT में संग्रहीत होती है।
कुछ उपकरण रजिस्ट्री फ़ाइलों का विश्लेषण करने के लिए उपयोगी हैं:
Registry Editor: यह Windows में स्थापित है। यह वर्तमान सत्र की Windows रजिस्ट्री के माध्यम से नेविगेट करने के लिए एक GUI है।
Registry Explorer: यह आपको रजिस्ट्री फ़ाइल को लोड करने और GUI के साथ उनके माध्यम से नेविगेट करने की अनुमति देता है। इसमें दिलचस्प जानकारी वाले कुंजी को उजागर करने वाले बुकमार्क भी होते हैं।
RegRipper: फिर से, इसमें एक GUI है जो लोड की गई रजिस्ट्री के माध्यम से नेविगेट करने की अनुमति देता है और इसमें प्लगइन्स होते हैं जो लोड की गई रजिस्ट्री के अंदर दिलचस्प जानकारी को उजागर करते हैं।
Windows Registry Recovery: एक और GUI एप्लिकेशन जो लोड की गई रजिस्ट्री से महत्वपूर्ण जानकारी निकालने में सक्षम है।
जब एक कुंजी को हटाया जाता है, तो इसे इस तरह चिह्नित किया जाता है, लेकिन जब तक यह स्थान आवश्यक नहीं होता, तब तक इसे हटाया नहीं जाएगा। इसलिए, Registry Explorer जैसे उपकरणों का उपयोग करके इन हटाई गई कुंजियों को पुनर्प्राप्त करना संभव है।
प्रत्येक Key-Value में एक टाइमस्टैम्प होता है जो अंतिम बार संशोधित होने का समय दर्शाता है।
फ़ाइल/हाइव SAM में उपयोगकर्ताओं, समूहों और उपयोगकर्ताओं के पासवर्ड हैश होते हैं।
SAM\Domains\Account\Users में आप उपयोगकर्ता नाम, RID, अंतिम लॉगिन, अंतिम विफल लॉगिन, लॉगिन काउंटर, पासवर्ड नीति और जब खाता बनाया गया था, प्राप्त कर सकते हैं। हैश प्राप्त करने के लिए आपको फ़ाइल/हाइव SYSTEM की भी आवश्यकता है।
इस पोस्ट में आप संदिग्ध व्यवहार का पता लगाने के लिए सामान्य Windows प्रक्रियाओं के बारे में जान सकते हैं।
रजिस्ट्री NTUSER.DAT के अंदर पथ Software\Microsoft\Current Version\Search\RecentApps में आप निष्पादित एप्लिकेशन, अंतिम बार इसे निष्पादित किया गया था, और कितनी बार इसे लॉन्च किया गया था, के बारे में जानकारी के साथ उपकुंजी पा सकते हैं।
आप रजिस्ट्री संपादक के साथ SYSTEM फ़ाइल खोल सकते हैं और पथ SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} के अंदर आप प्रत्येक उपयोगकर्ता द्वारा निष्पादित एप्लिकेशन के बारे में जानकारी पा सकते हैं (पथ में {SID} नोट करें) और कब उन्हें निष्पादित किया गया था (समय रजिस्ट्री के डेटा मान के अंदर है)।
Prefetching एक तकनीक है जो एक कंप्यूटर को चुपचाप आवश्यक संसाधनों को लाने की अनुमति देती है जो एक उपयोगकर्ता निकट भविष्य में एक्सेस कर सकता है ताकि संसाधनों को तेजी से एक्सेस किया जा सके।
Windows prefetch में निष्पादित कार्यक्रमों के कैश बनाने की प्रक्रिया होती है ताकि उन्हें तेजी से लोड किया जा सके। ये कैश .pf फ़ाइलों के रूप में निम्नलिखित पथ में बनाए जाते हैं: C:\Windows\Prefetch। XP/VISTA/WIN7 में फ़ाइलों की सीमा 128 है और Win8/Win10 में 1024 फ़ाइलें हैं।
फ़ाइल का नाम {program_name}-{hash}.pf के रूप में बनाया जाता है (हैश पथ और निष्पादन योग्य के तर्कों पर आधारित होता है)। W10 में ये फ़ाइलें संकुचित होती हैं। ध्यान दें कि फ़ाइल की केवल उपस्थिति यह दर्शाती है कि कार्यक्रम को किसी बिंदु पर निष्पादित किया गया था।
फ़ाइल C:\Windows\Prefetch\Layout.ini में उन फ़ाइलों के फ़ोल्डरों के नाम होते हैं जो प्रीफेच किए गए हैं। इस फ़ाइल में निष्पादन की संख्या, निष्पादन की तिथियाँ और फ़ाइलें खुली होती हैं जो कार्यक्रम द्वारा खोली गई हैं।
इन फ़ाइलों की जांच करने के लिए आप PEcmd.exe टूल का उपयोग कर सकते हैं:
Superprefetch का लक्ष्य prefetch के समान है, कार्यक्रमों को तेजी से लोड करना यह अनुमान लगाकर कि अगला क्या लोड होगा। हालाँकि, यह prefetch सेवा का विकल्प नहीं है।
यह सेवा C:\Windows\Prefetch\Ag*.db में डेटाबेस फ़ाइलें उत्पन्न करेगी।
इन डेटाबेस में आप कार्यक्रम का नाम, कार्यवाही की संख्या, खुले फ़ाइलें, एक्सेस किया गया वॉल्यूम, पूर्ण पथ, समय सीमा और टाइमस्टैम्प पा सकते हैं।
आप इस जानकारी को CrowdResponse उपकरण का उपयोग करके एक्सेस कर सकते हैं।
System Resource Usage Monitor (SRUM) एक प्रक्रिया द्वारा उपयोग किए गए संसाधनों की निगरानी करता है। यह W8 में प्रकट हुआ और यह डेटा को C:\Windows\System32\sru\SRUDB.dat में ESE डेटाबेस में संग्रहीत करता है।
यह निम्नलिखित जानकारी प्रदान करता है:
AppID और पथ
उपयोगकर्ता जिसने प्रक्रिया को निष्पादित किया
भेजे गए बाइट्स
प्राप्त बाइट्स
नेटवर्क इंटरफ़ेस
कनेक्शन की अवधि
प्रक्रिया की अवधि
यह जानकारी हर 60 मिनट में अपडेट होती है।
आप इस फ़ाइल से दिनांक प्राप्त करने के लिए srum_dump उपकरण का उपयोग कर सकते हैं।
The AppCompatCache, जिसे ShimCache के नाम से भी जाना जाता है, Microsoft द्वारा विकसित Application Compatibility Database का एक हिस्सा है जो एप्लिकेशन संगतता समस्याओं से निपटने के लिए है। यह सिस्टम घटक विभिन्न फ़ाइल मेटाडेटा के टुकड़ों को रिकॉर्ड करता है, जिसमें शामिल हैं:
फ़ाइल का पूरा पथ
फ़ाइल का आकार
$Standard_Information (SI) के तहत अंतिम संशोधित समय
ShimCache का अंतिम अपडेट समय
प्रक्रिया निष्पादन ध्वज
इस तरह का डेटा ऑपरेटिंग सिस्टम के संस्करण के आधार पर विशिष्ट स्थानों पर रजिस्ट्री में संग्रहीत होता है:
XP के लिए, डेटा SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache के तहत संग्रहीत होता है जिसमें 96 प्रविष्टियों की क्षमता होती है।
सर्वर 2003 के लिए, साथ ही Windows के संस्करण 2008, 2012, 2016, 7, 8, और 10 के लिए, संग्रहण पथ SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache है, जो क्रमशः 512 और 1024 प्रविष्टियों को समायोजित करता है।
संग्रहीत जानकारी को पार्स करने के लिए, AppCompatCacheParser tool का उपयोग करने की सिफारिश की जाती है।
Amcache.hve फ़ाइल मूल रूप से एक रजिस्ट्री हाइव है जो सिस्टम पर निष्पादित एप्लिकेशनों के बारे में विवरण लॉग करती है। यह आमतौर पर C:\Windows\AppCompat\Programas\Amcache.hve पर पाई जाती है।
यह फ़ाइल हाल ही में निष्पादित प्रक्रियाओं के रिकॉर्ड को संग्रहीत करने के लिए उल्लेखनीय है, जिसमें निष्पादन योग्य फ़ाइलों के पथ और उनके SHA1 हैश शामिल हैं। यह जानकारी सिस्टम पर एप्लिकेशनों की गतिविधियों को ट्रैक करने के लिए अमूल्य है।
Amcache.hve से डेटा निकालने और विश्लेषण करने के लिए, AmcacheParser टूल का उपयोग किया जा सकता है। निम्नलिखित कमांड Amcache.hve फ़ाइल की सामग्री को पार्स करने और परिणामों को CSV प्रारूप में आउटपुट करने के लिए AmcacheParser का उपयोग करने का एक उदाहरण है:
Among the generated CSV files, the Amcache_Unassociated file entries is particularly noteworthy due to the rich information it provides about unassociated file entries.
The most interesting CVS file generated is the Amcache_Unassociated file entries.
यह आर्टिफैक्ट केवल W7 में C:\Windows\AppCompat\Programs\RecentFileCache.bcf में पाया जा सकता है और इसमें कुछ बाइनरी के हालिया निष्पादन के बारे में जानकारी होती है।
You can use the tool RecentFileCacheParse to parse the file.
आप इन्हें C:\Windows\Tasks या C:\Windows\System32\Tasks से निकाल सकते हैं और XML के रूप में पढ़ सकते हैं।
आप इन्हें रजिस्ट्री में SYSTEM\ControlSet001\Services के तहत पा सकते हैं। आप देख सकते हैं कि क्या निष्पादित होने वाला है और कब।
स्थापित एप्लिकेशन \ProgramData\Microsoft\Windows\AppRepository\ में पाए जा सकते हैं।
इस रिपॉजिटरी में StateRepository-Machine.srd डेटाबेस के अंदर प्रत्येक स्थापित एप्लिकेशन के साथ एक लॉग है।
इस डेटाबेस के एप्लिकेशन तालिका के अंदर, "Application ID", "PackageNumber", और "Display Name" जैसे कॉलम पाए जा सकते हैं। ये कॉलम पूर्व-स्थापित और स्थापित एप्लिकेशनों के बारे में जानकारी रखते हैं और यह पता लगाया जा सकता है कि क्या कुछ एप्लिकेशन अनइंस्टॉल किए गए थे क्योंकि स्थापित एप्लिकेशनों के IDs अनुक्रमिक होने चाहिए।
आप रजिस्ट्री पथ में भी स्थापित एप्लिकेशन पा सकते हैं: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\
और अनइंस्टॉल एप्लिकेशन में: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\
Windows इवेंट्स के अंदर जो जानकारी दिखाई देती है वह है:
क्या हुआ
टाइमस्टैम्प (UTC + 0)
शामिल उपयोगकर्ता
शामिल होस्ट (hostname, IP)
एक्सेस किए गए एसेट्स (फाइलें, फ़ोल्डर, प्रिंटर, सेवाएँ)
लॉग C:\Windows\System32\config में Windows Vista से पहले और C:\Windows\System32\winevt\Logs में Windows Vista के बाद स्थित हैं। Windows Vista से पहले, इवेंट लॉग बाइनरी प्रारूप में थे और इसके बाद, वे XML प्रारूप में हैं और .evtx एक्सटेंशन का उपयोग करते हैं।
इवेंट फ़ाइलों का स्थान SYSTEM रजिस्ट्री में HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security} में पाया जा सकता है।
आप इन्हें Windows Event Viewer (eventvwr.msc) से या अन्य उपकरणों जैसे Event Log Explorer या Evtx Explorer/EvtxECmd** से देख सकते हैं।**
Access events को सुरक्षा कॉन्फ़िगरेशन फ़ाइल में दर्ज किया जाता है जो C:\Windows\System32\winevt\Security.evtx पर स्थित है। इस फ़ाइल का आकार समायोज्य है, और जब इसकी क्षमता पहुँच जाती है, तो पुराने इवेंट ओवरराइट हो जाते हैं। दर्ज किए गए इवेंट्स में उपयोगकर्ता लॉगिन और लॉगऑफ, उपयोगकर्ता क्रियाएँ, और सुरक्षा सेटिंग्स में परिवर्तन, साथ ही फ़ाइल, फ़ोल्डर, और साझा एसेट्स का एक्सेस शामिल है।
EventID 4624: संकेत करता है कि एक उपयोगकर्ता सफलतापूर्वक प्रमाणित हुआ।
EventID 4625: एक प्रमाणीकरण विफलता का संकेत देता है।
EventIDs 4634/4647: उपयोगकर्ता लॉगऑफ इवेंट्स का प्रतिनिधित्व करते हैं।
EventID 4672: प्रशासनिक विशेषाधिकारों के साथ लॉगिन को दर्शाता है।
Interactive (2): प्रत्यक्ष उपयोगकर्ता लॉगिन।
Network (3): साझा फ़ोल्डरों तक पहुँच।
Batch (4): बैच प्रक्रियाओं का निष्पादन।
Service (5): सेवा लॉन्च।
Proxy (6): प्रॉक्सी प्रमाणीकरण।
Unlock (7): पासवर्ड के साथ स्क्रीन अनलॉक।
Network Cleartext (8): स्पष्ट पाठ पासवर्ड ट्रांसमिशन, अक्सर IIS से।
New Credentials (9): पहुँच के लिए विभिन्न क्रेडेंशियल्स का उपयोग।
Remote Interactive (10): रिमोट डेस्कटॉप या टर्मिनल सेवाओं का लॉगिन।
Cache Interactive (11): डोमेन कंट्रोलर संपर्क के बिना कैश किए गए क्रेडेंशियल्स के साथ लॉगिन।
Cache Remote Interactive (12): कैश किए गए क्रेडेंशियल्स के साथ रिमोट लॉगिन।
Cached Unlock (13): कैश किए गए क्रेडेंशियल्स के साथ अनलॉक करना।
0xC0000064: उपयोगकर्ता नाम मौजूद नहीं है - यह एक उपयोगकर्ता नाम enumeration हमले का संकेत दे सकता है।
0xC000006A: सही उपयोगकर्ता नाम लेकिन गलत पासवर्ड - संभावित पासवर्ड अनुमान या ब्रूट-फोर्स प्रयास।
0xC0000234: उपयोगकर्ता खाता लॉक आउट - यह कई विफल लॉगिन के परिणामस्वरूप ब्रूट-फोर्स हमले के बाद हो सकता है।
0xC0000072: खाता निष्क्रिय - निष्क्रिय खातों तक पहुँच के लिए अनधिकृत प्रयास।
0xC000006F: अनुमति समय के बाहर लॉगिन - सेट लॉगिन घंटों के बाहर पहुँच के प्रयासों का संकेत देता है, जो अनधिकृत पहुँच का संभावित संकेत है।
0xC0000070: कार्यस्थल प्रतिबंधों का उल्लंघन - यह अनधिकृत स्थान से लॉगिन का प्रयास हो सकता है।
0xC0000193: खाता समाप्ति - समाप्त उपयोगकर्ता खातों के साथ पहुँच के प्रयास।
0xC0000071: समाप्त पासवर्ड - पुरानी पासवर्ड के साथ लॉगिन प्रयास।
0xC0000133: समय समन्वय मुद्दे - क्लाइंट और सर्वर के बीच बड़े समय के अंतर अधिक जटिल हमलों जैसे पास-दी-टिकट का संकेत दे सकते हैं।
0xC0000224: अनिवार्य पासवर्ड परिवर्तन की आवश्यकता - बार-बार अनिवार्य परिवर्तन सुरक्षा को अस्थिर करने के प्रयास का सुझाव दे सकते हैं।
0xC0000225: यह एक सिस्टम बग को दर्शाता है न कि सुरक्षा मुद्दा।
0xC000015b: अस्वीकृत लॉगिन प्रकार - अनधिकृत लॉगिन प्रकार के साथ पहुँच का प्रयास, जैसे कि एक उपयोगकर्ता सेवा लॉगिन निष्पादित करने की कोशिश कर रहा है।
Time Change: सिस्टम समय में संशोधन, जो घटनाओं की समयरेखा को अस्पष्ट कर सकता है।
System Startup and Shutdown: EventID 6005 सिस्टम के चालू होने को दर्शाता है, जबकि EventID 6006 इसे बंद करने को चिह्नित करता है।
Log Deletion: सुरक्षा लॉग को साफ करना, जो अक्सर अवैध गतिविधियों को छिपाने के लिए एक लाल झंडा होता है।
20001 / 20003 / 10000: USB डिवाइस का पहला कनेक्शन।
10100: USB ड्राइवर अपडेट।
EventID 112: USB डिवाइस के सम्मिलन का समय।
For practical examples on simulating these login types and credential dumping opportunities, refer to Altered Security's detailed guide.
Event details, including status and sub-status codes, provide further insights into event causes, particularly notable in Event ID 4625.
Deleted Windows Events को पुनर्प्राप्त करने के अवसरों को बढ़ाने के लिए, संदिग्ध कंप्यूटर को सीधे अनप्लग करके बंद करना उचित है। Bulk_extractor, एक रिकवरी उपकरण जो .evtx एक्सटेंशन को निर्दिष्ट करता है, ऐसे इवेंट्स को पुनर्प्राप्त करने के प्रयास के लिए अनुशंसित है।
Windows Event IDs का उपयोग करके सामान्य साइबर हमलों की पहचान के लिए एक व्यापक गाइड के लिए, Red Team Recipe पर जाएं।
कई EventID 4625 रिकॉर्ड द्वारा पहचाने जाने योग्य, यदि हमला सफल होता है तो इसके बाद एक EventID 4624 होता है।
EventID 4616 द्वारा दर्ज किया गया, सिस्टम समय में परिवर्तन फोरेंसिक विश्लेषण को जटिल बना सकता है।
USB डिवाइस ट्रैकिंग के लिए उपयोगी सिस्टम EventIDs में प्रारंभिक उपयोग के लिए 20001/20003/10000, ड्राइवर अपडेट के लिए 10100, और DeviceSetupManager से सम्मिलन समय के लिए EventID 112 शामिल हैं।
EventID 6005 सिस्टम स्टार्टअप को दर्शाता है, जबकि EventID 6006 शटडाउन को चिह्नित करता है।
सुरक्षा EventID 1102 लॉग के हटाने का संकेत देता है, जो फोरेंसिक विश्लेषण के लिए एक महत्वपूर्ण घटना है।
कार्य की सामग्री को दर्शाने वाली एक स्क्रीनशॉट प्रदान की गई है:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
