Windows Artifacts
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
पथ \Users\<username>\AppData\Local\Microsoft\Windows\Notifications में आप डेटाबेस appdb.dat (Windows की वर्षगांठ से पहले) या wpndatabase.db (Windows की वर्षगांठ के बाद) पा सकते हैं।
इस SQLite डेटाबेस के अंदर, आप Notification तालिका पा सकते हैं जिसमें सभी सूचनाएँ (XML प्रारूप में) होती हैं जो दिलचस्प डेटा हो सकता है।
Timeline एक Windows विशेषता है जो कालानुक्रमिक इतिहास प्रदान करती है जिसमें देखी गई वेब पृष्ठ, संपादित दस्तावेज़, और निष्पादित अनुप्रयोग शामिल होते हैं।
डेटाबेस पथ \Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db में स्थित है। इस डेटाबेस को SQLite टूल या WxTCmd टूल के साथ खोला जा सकता है जो 2 फ़ाइलें उत्पन्न करता है जिन्हें TimeLine Explorer टूल के साथ खोला जा सकता है।
डाउनलोड की गई फ़ाइलों में ADS Zone.Identifier हो सकता है जो यह बताता है कि इसे कैसे डाउनलोड किया गया था, जैसे कि इंट्रानेट, इंटरनेट, आदि। कुछ सॉफ़्टवेयर (जैसे ब्राउज़र) आमतौर पर फ़ाइल डाउनलोड करने के लिए URL जैसी अधिक जानकारी भी डालते हैं।
Vista/Win7/Win8/Win10 में Recycle Bin ड्राइव के रूट में फ़ोल्डर $Recycle.bin में पाया जा सकता है।
जब इस फ़ोल्डर में एक फ़ाइल हटाई जाती है, तो 2 विशिष्ट फ़ाइलें बनाई जाती हैं:
$I{id}: फ़ाइल जानकारी (जब इसे हटाया गया था)
$R{id}: फ़ाइल की सामग्री
इन फ़ाइलों के साथ, आप Rifiuti टूल का उपयोग करके हटाई गई फ़ाइलों का मूल पता और इसे हटाए जाने की तारीख प्राप्त कर सकते हैं (Vista – Win10 के लिए rifiuti-vista.exe का उपयोग करें)।
शैडो कॉपी एक तकनीक है जो Microsoft Windows में शामिल है, जो कंप्यूटर फ़ाइलों या वॉल्यूम की बैकअप कॉपियाँ या स्नैपशॉट बनाने की अनुमति देती है, भले ही वे उपयोग में हों।
ये बैकअप आमतौर पर फ़ाइल सिस्टम की जड़ से \System Volume Information में स्थित होते हैं और नाम UIDs से बना होता है जो निम्नलिखित चित्र में दिखाए गए हैं:
फोरेंसिक्स इमेज को ArsenalImageMounter के साथ माउंट करते समय, टूल ShadowCopyView का उपयोग शैडो कॉपी का निरीक्षण करने और यहां तक कि फाइलों को निकालने के लिए किया जा सकता है।
रजिस्ट्री प्रविष्टि HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore उन फ़ाइलों और कुंजियों को बैकअप न करने के लिए शामिल करती है:
रजिस्ट्री HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS में वॉल्यूम शैडो कॉपियों के बारे में कॉन्फ़िगरेशन जानकारी भी शामिल है।
आप ऑफिस ऑटोसेव्ड फ़ाइलें निम्नलिखित पते पर पा सकते हैं: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\
एक शेल आइटम एक ऐसा आइटम है जिसमें किसी अन्य फ़ाइल तक पहुँचने के तरीके के बारे में जानकारी होती है।
Windows स्वतः इन शॉर्टकट्स को तब बनाता है जब उपयोगकर्ता एक फ़ाइल खोलता है, उपयोग करता है या बनाता है:
Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
ऑफिस: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\
जब एक फ़ोल्डर बनाया जाता है, तो फ़ोल्डर, पैरेंट फ़ोल्डर और ग्रैंडपैरेंट फ़ोल्डर के लिए एक लिंक भी बनाया जाता है।
ये स्वचालित रूप से बनाए गए लिंक फ़ाइलें उद्गम के बारे में जानकारी रखती हैं जैसे कि यह फ़ाइल या फ़ोल्डर है, उस फ़ाइल के MAC समय, फ़ाइल कहाँ संग्रहीत है उसका वॉल्यूम जानकारी और लक्षित फ़ाइल का फ़ोल्डर। यह जानकारी उन फ़ाइलों को पुनर्प्राप्त करने में सहायक हो सकती है यदि वे हटा दी गई हों।
इसके अलावा, लिंक फ़ाइल की तारीख बनाई गई मूल फ़ाइल के पहले उपयोग का पहला समय है और लिंक फ़ाइल की तारीख संशोधित मूल फ़ाइल के उपयोग का अंतिम समय है।
इन फ़ाइलों का निरीक्षण करने के लिए आप LinkParser का उपयोग कर सकते हैं।
इस टूल में आपको 2 सेट टाइमस्टैम्प मिलेंगे:
पहला सेट:
FileModifiedDate
FileAccessDate
FileCreationDate
दूसरा सेट:
LinkModifiedDate
LinkAccessDate
LinkCreationDate.
पहले सेट का टाइमस्टैम्प फ़ाइल के स्वयं के टाइमस्टैम्प को संदर्भित करता है। दूसरा सेट लिंक की गई फ़ाइल के टाइमस्टैम्प को संदर्भित करता है।
आप Windows CLI टूल: LECmd.exe चलाकर वही जानकारी प्राप्त कर सकते हैं।
In this case, the information is going to be saved inside a CSV file.
ये हाल के फ़ाइलें हैं जो प्रत्येक एप्लिकेशन के लिए संकेतित होती हैं। यह एक एप्लिकेशन द्वारा उपयोग की गई हाल की फ़ाइलों की सूची है जिसे आप प्रत्येक एप्लिकेशन पर एक्सेस कर सकते हैं। इन्हें स्वचालित रूप से या कस्टम बनाया जा सकता है।
स्वचालित रूप से बनाए गए jumplists C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\ में संग्रहीत होते हैं। jumplists का नाम {id}.autmaticDestinations-ms प्रारूप का पालन करते हैं जहाँ प्रारंभिक ID एप्लिकेशन की ID होती है।
कस्टम jumplists C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\ में संग्रहीत होते हैं और इन्हें आमतौर पर एप्लिकेशन द्वारा बनाया जाता है क्योंकि फ़ाइल के साथ कुछ महत्वपूर्ण हुआ है (शायद पसंदीदा के रूप में चिह्नित किया गया है)
किसी भी jumplist का निर्माण समय फ़ाइल को पहली बार एक्सेस किए जाने का समय और संशोधित समय अंतिम बार को इंगित करता है।
आप JumplistExplorer का उपयोग करके jumplists की जांच कर सकते हैं।
(ध्यान दें कि JumplistExplorer द्वारा प्रदान किए गए टाइमस्टैम्प jumplist फ़ाइल से संबंधित हैं)
इस लिंक का पालन करें यह जानने के लिए कि shellbags क्या हैं।
यह पहचानना संभव है कि एक USB डिवाइस का उपयोग किया गया था धन्यवाद निम्नलिखित के निर्माण के लिए:
Windows Recent Folder
Microsoft Office Recent Folder
Jumplists
ध्यान दें कि कुछ LNK फ़ाइल मूल पथ की ओर इशारा करने के बजाय WPDNSE फ़ोल्डर की ओर इशारा करती है:
WPDNSE फ़ोल्डर में फ़ाइलें मूल फ़ाइलों की एक प्रति हैं, इसलिए ये PC के पुनरारंभ होने पर जीवित नहीं रहेंगी और GUID एक shellbag से लिया गया है।
यह पृष्ठ देखें यह जानने के लिए कि कौन से रजिस्ट्री कुंजी USB जुड़े उपकरणों के बारे में दिलचस्प जानकारी रखती हैं।
USB कनेक्शन कब उत्पन्न हुआ, इसके टाइमस्टैम्प प्राप्त करने के लिए फ़ाइल C:\Windows\inf\setupapi.dev.log की जांच करें ( Section start के लिए खोजें)।
USBDetective का उपयोग उन USB उपकरणों के बारे में जानकारी प्राप्त करने के लिए किया जा सकता है जो एक छवि से जुड़े हुए हैं।
'Plug and Play Cleanup' के रूप में ज्ञात निर्धारित कार्य मुख्य रूप से पुराने ड्राइवर संस्करणों को हटाने के लिए डिज़ाइन किया गया है। इसके निर्दिष्ट उद्देश्य के विपरीत नवीनतम ड्राइवर पैकेज संस्करण को बनाए रखने के लिए, ऑनलाइन स्रोतों का सुझाव है कि यह 30 दिनों से निष्क्रिय ड्राइवरों को भी लक्षित करता है। परिणामस्वरूप, पिछले 30 दिनों में जुड़े नहीं होने वाले हटाने योग्य उपकरणों के ड्राइवरों को हटाने के अधीन किया जा सकता है।
यह कार्य निम्नलिखित पथ पर स्थित है: C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup.
कार्य के प्रमुख घटक और सेटिंग्स:
pnpclean.dll: यह DLL वास्तविक सफाई प्रक्रिया के लिए जिम्मेदार है।
UseUnifiedSchedulingEngine: TRUE पर सेट, सामान्य कार्य शेड्यूलिंग इंजन के उपयोग को इंगित करता है।
MaintenanceSettings:
Period ('P1M'): कार्य शेड्यूलर को नियमित स्वचालित रखरखाव के दौरान मासिक सफाई कार्य शुरू करने के लिए निर्देशित करता है।
Deadline ('P2M'): कार्य शेड्यूलर को निर्देशित करता है, यदि कार्य दो लगातार महीनों के लिए विफल रहता है, तो आपातकालीन स्वचालित रखरखाव के दौरान कार्य को निष्पादित करें।
यह कॉन्फ़िगरेशन नियमित रखरखाव और ड्राइवरों की सफाई सुनिश्चित करता है, लगातार विफलताओं के मामले में कार्य को फिर से प्रयास करने के लिए प्रावधान के साथ।
अधिक जानकारी के लिए देखें: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html
ईमेल में 2 दिलचस्प भाग होते हैं: ईमेल के हेडर और सामग्री। हेडर में आप जानकारी पा सकते हैं जैसे:
किसने ईमेल भेजे (ईमेल पता, IP, मेल सर्वर जिन्होंने ईमेल को पुनर्निर्देशित किया)
कब ईमेल भेजा गया था
इसके अलावा, References और In-Reply-To हेडर के अंदर आप संदेशों की ID पा सकते हैं:
यह एप्लिकेशन ईमेल को HTML या टेक्स्ट में सहेजता है। आप ईमेल को \Users\<username>\AppData\Local\Comms\Unistore\data\3\ के अंदर उपफोल्डरों में पा सकते हैं। ईमेल को .dat एक्सटेंशन के साथ सहेजा जाता है।
ईमेल का मेटाडेटा और संपर्क EDB डेटाबेस के अंदर पाया जा सकता है: \Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol
फाइल का एक्सटेंशन .vol से .edb में बदलें और आप इसे खोलने के लिए ESEDatabaseView टूल का उपयोग कर सकते हैं। Message तालिका के अंदर आप ईमेल देख सकते हैं।
जब एक्सचेंज सर्वर या आउटलुक क्लाइंट का उपयोग किया जाता है, तो कुछ MAPI हेडर होंगे:
Mapi-Client-Submit-Time: समय जब ईमेल भेजा गया था
Mapi-Conversation-Index: थ्रेड के बच्चों के संदेशों की संख्या और थ्रेड के प्रत्येक संदेश का टाइमस्टैम्प
Mapi-Entry-ID: संदेश पहचानकर्ता।
Mappi-Message-Flags और Pr_last_Verb-Executed: MAPI क्लाइंट के बारे में जानकारी (संदेश पढ़ा? नहीं पढ़ा? उत्तर दिया? पुनर्निर्देशित? कार्यालय से बाहर?)
Microsoft Outlook क्लाइंट में, सभी भेजे गए/प्राप्त संदेश, संपर्क डेटा, और कैलेंडर डेटा PST फ़ाइल में संग्रहीत होते हैं:
%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook (WinXP)
%USERPROFILE%\AppData\Local\Microsoft\Outlook
रजिस्ट्री पथ HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook उस फ़ाइल को इंगित करता है जिसका उपयोग किया जा रहा है।
आप Kernel PST Viewer टूल का उपयोग करके PST फ़ाइल खोल सकते हैं।
एक OST फ़ाइल Microsoft Outlook द्वारा उत्पन्न होती है जब इसे IMAP या Exchange सर्वर के साथ कॉन्फ़िगर किया जाता है, जो PST फ़ाइल के समान जानकारी संग्रहीत करती है। यह फ़ाइल सर्वर के साथ समन्वयित होती है, अंतिम 12 महीनों के लिए डेटा बनाए रखती है और 50GB के अधिकतम आकार में होती है, और PST फ़ाइल के समान निर्देशिका में स्थित होती है। OST फ़ाइल देखने के लिए, Kernel OST viewer का उपयोग किया जा सकता है।
खोई हुई अटैचमेंट्स को पुनर्प्राप्त किया जा सकता है:
IE10 के लिए: %APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook
IE11 और ऊपर के लिए: %APPDATA%\Local\Microsoft\InetCache\Content.Outlook
Thunderbird MBOX फ़ाइलों का उपयोग डेटा संग्रहीत करने के लिए करता है, जो \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles में स्थित होती हैं।
Windows XP और 8-8.1: थंबनेल के साथ फ़ोल्डर तक पहुँचने पर एक thumbs.db फ़ाइल उत्पन्न होती है जो छवि पूर्वावलोकन संग्रहीत करती है, यहां तक कि हटाने के बाद भी।
Windows 7/10: thumbs.db तब बनाई जाती है जब UNC पथ के माध्यम से नेटवर्क पर पहुँच की जाती है।
Windows Vista और नए: थंबनेल पूर्वावलोकन %userprofile%\AppData\Local\Microsoft\Windows\Explorer में केंद्रीकृत होते हैं जिनके फ़ाइलें thumbcache_xxx.db नाम की होती हैं। इन फ़ाइलों को देखने के लिए Thumbsviewer और ThumbCache Viewer टूल हैं।
Windows रजिस्ट्री, जो व्यापक प्रणाली और उपयोगकर्ता गतिविधि डेटा संग्रहीत करती है, निम्नलिखित फ़ाइलों में निहित होती है:
विभिन्न HKEY_LOCAL_MACHINE उपकुंजी के लिए %windir%\System32\Config।
HKEY_CURRENT_USER के लिए %UserProfile%{User}\NTUSER.DAT।
Windows Vista और बाद के संस्करण HKEY_LOCAL_MACHINE रजिस्ट्री फ़ाइलों का बैकअप %Windir%\System32\Config\RegBack\ में करते हैं।
इसके अतिरिक्त, प्रोग्राम निष्पादन की जानकारी Windows Vista और Windows 2008 Server से आगे %UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT में संग्रहीत होती है।
कुछ टूल रजिस्ट्री फ़ाइलों का विश्लेषण करने के लिए उपयोगी हैं:
Registry Editor: यह Windows में स्थापित है। यह वर्तमान सत्र की Windows रजिस्ट्री के माध्यम से नेविगेट करने के लिए एक GUI है।
Registry Explorer: यह आपको रजिस्ट्री फ़ाइल को लोड करने और GUI के साथ उनके माध्यम से नेविगेट करने की अनुमति देता है। इसमें दिलचस्प जानकारी वाले कुंजी को उजागर करने वाले बुकमार्क भी होते हैं।
RegRipper: फिर से, इसमें एक GUI है जो लोड की गई रजिस्ट्री के माध्यम से नेविगेट करने की अनुमति देता है और इसमें प्लगइन्स होते हैं जो लोड की गई रजिस्ट्री के अंदर दिलचस्प जानकारी को उजागर करते हैं।
Windows Registry Recovery: एक और GUI एप्लिकेशन जो लोड की गई रजिस्ट्री से महत्वपूर्ण जानकारी निकालने में सक्षम है।
जब एक कुंजी को हटाया जाता है, तो इसे इस तरह से चिह्नित किया जाता है, लेकिन जब तक यह स्थान आवश्यक नहीं होता, तब तक इसे हटाया नहीं जाएगा। इसलिए, Registry Explorer जैसे टूल का उपयोग करके इन हटाई गई कुंजियों को पुनर्प्राप्त करना संभव है।
प्रत्येक Key-Value में एक टाइमस्टैम्प होता है जो अंतिम बार संशोधित होने का समय इंगित करता है।
फ़ाइल/हाइव SAM में उपयोगकर्ताओं, समूहों और उपयोगकर्ताओं के पासवर्ड हैश होते हैं।
SAM\Domains\Account\Users में आप उपयोगकर्ता नाम, RID, अंतिम लॉगिन, अंतिम विफल लॉगिन, लॉगिन काउंटर, पासवर्ड नीति और जब खाता बनाया गया था, प्राप्त कर सकते हैं। हैश प्राप्त करने के लिए आपको फ़ाइल/हाइव SYSTEM की भी आवश्यकता है।
इस पोस्ट में आप संदिग्ध व्यवहार का पता लगाने के लिए सामान्य Windows प्रक्रियाओं के बारे में जान सकते हैं।
रजिस्ट्री NTUSER.DAT के अंदर पथ Software\Microsoft\Current Version\Search\RecentApps में आप उपकुंजी पा सकते हैं जिनमें निष्पादित एप्लिकेशन, अंतिम बार इसे निष्पादित किया गया था, और कितनी बार इसे लॉन्च किया गया था।
आप रजिस्ट्री संपादक के साथ SYSTEM फ़ाइल खोल सकते हैं और पथ SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} के अंदर आप प्रत्येक उपयोगकर्ता द्वारा निष्पादित एप्लिकेशन के बारे में जानकारी पा सकते हैं (पथ में {SID} नोट करें) और कब उन्हें निष्पादित किया गया था (समय रजिस्ट्री के डेटा मान के अंदर है)।
Prefetching एक तकनीक है जो एक कंप्यूटर को चुपचाप संसाधनों को लाने की अनुमति देती है जो एक उपयोगकर्ता निकट भविष्य में एक्सेस कर सकता है ताकि संसाधनों को तेजी से एक्सेस किया जा सके।
Windows prefetch में निष्पादित कार्यक्रमों के कैश बनाने की प्रक्रिया होती है ताकि उन्हें तेजी से लोड किया जा सके। ये कैश .pf फ़ाइलों के रूप में निम्नलिखित पथ में बनाए जाते हैं: C:\Windows\Prefetch। XP/VISTA/WIN7 में फ़ाइलों की सीमा 128 है और Win8/Win10 में 1024 फ़ाइलें हैं।
फ़ाइल का नाम {program_name}-{hash}.pf के रूप में बनाया जाता है (हैश पथ और निष्पादनीय के तर्कों पर आधारित होता है)। W10 में ये फ़ाइलें संकुचित होती हैं। ध्यान दें कि फ़ाइल की केवल उपस्थिति यह संकेत देती है कि कार्यक्रम को किसी बिंदु पर निष्पादित किया गया था।
फ़ाइल C:\Windows\Prefetch\Layout.ini में उन फ़ाइलों के फ़ोल्डरों के नाम होते हैं जो प्रीफेच किए गए हैं। इस फ़ाइल में निष्पादन की संख्या, निष्पादन की तिथियाँ और फ़ाइलें खुली होती हैं जो कार्यक्रम द्वारा खोली गई हैं।
इन फ़ाइलों की जांच करने के लिए आप टूल PEcmd.exe का उपयोग कर सकते हैं:
Superprefetch का लक्ष्य prefetch के समान है, कार्यक्रमों को तेजी से लोड करना यह अनुमान लगाकर कि अगला क्या लोड होने वाला है। हालाँकि, यह prefetch सेवा का स्थान नहीं लेता।
यह सेवा C:\Windows\Prefetch\Ag*.db में डेटाबेस फ़ाइलें उत्पन्न करेगी।
इन डेटाबेस में आप कार्यक्रम का नाम, कार्यवाही की संख्या, खुले फ़ाइलें, एक्सेस किया गया वॉल्यूम, पूर्ण पथ, समय सीमा और टाइमस्टैम्प पा सकते हैं।
आप इस जानकारी को CrowdResponse उपकरण का उपयोग करके एक्सेस कर सकते हैं।
System Resource Usage Monitor (SRUM) एक प्रक्रिया द्वारा उपयोग किए गए संसाधनों की निगरानी करता है। यह W8 में प्रकट हुआ और यह डेटा को C:\Windows\System32\sru\SRUDB.dat में ESE डेटाबेस में संग्रहीत करता है।
यह निम्नलिखित जानकारी प्रदान करता है:
AppID और पथ
उपयोगकर्ता जिसने प्रक्रिया को निष्पादित किया
भेजे गए बाइट्स
प्राप्त बाइट्स
नेटवर्क इंटरफ़ेस
कनेक्शन अवधि
प्रक्रिया अवधि
यह जानकारी हर 60 मिनट में अपडेट होती है।
आप इस फ़ाइल से डेटा प्राप्त करने के लिए srum_dump उपकरण का उपयोग कर सकते हैं।
The AppCompatCache, जिसे ShimCache के नाम से भी जाना जाता है, Microsoft द्वारा विकसित Application Compatibility Database का एक हिस्सा है जो एप्लिकेशन संगतता समस्याओं को हल करने के लिए है। यह सिस्टम घटक विभिन्न फ़ाइल मेटाडेटा के टुकड़ों को रिकॉर्ड करता है, जिसमें शामिल हैं:
फ़ाइल का पूरा पथ
फ़ाइल का आकार
$Standard_Information (SI) के तहत अंतिम संशोधित समय
ShimCache का अंतिम अपडेट समय
प्रक्रिया निष्पादन ध्वज
इस तरह का डेटा ऑपरेटिंग सिस्टम के संस्करण के आधार पर विशिष्ट स्थानों पर रजिस्ट्री में संग्रहीत किया जाता है:
XP के लिए, डेटा SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache के तहत संग्रहीत किया जाता है जिसमें 96 प्रविष्टियों की क्षमता होती है।
सर्वर 2003 के लिए, साथ ही Windows के संस्करण 2008, 2012, 2016, 7, 8, और 10 के लिए, संग्रहण पथ SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache है, जो क्रमशः 512 और 1024 प्रविष्टियों को समायोजित करता है।
संग्रहीत जानकारी को पार्स करने के लिए, AppCompatCacheParser टूल का उपयोग करने की सिफारिश की जाती है।
Amcache.hve फ़ाइल मूल रूप से एक रजिस्ट्री हाइव है जो सिस्टम पर निष्पादित एप्लिकेशनों के बारे में विवरण लॉग करती है। यह आमतौर पर C:\Windows\AppCompat\Programas\Amcache.hve पर पाई जाती है।
यह फ़ाइल हाल ही में निष्पादित प्रक्रियाओं के रिकॉर्ड को संग्रहीत करने के लिए उल्लेखनीय है, जिसमें निष्पादन योग्य फ़ाइलों के पथ और उनके SHA1 हैश शामिल हैं। यह जानकारी सिस्टम पर एप्लिकेशनों की गतिविधि को ट्रैक करने के लिए अमूल्य है।
Amcache.hve से डेटा निकालने और विश्लेषण करने के लिए, AmcacheParser टूल का उपयोग किया जा सकता है। निम्नलिखित कमांड Amcache.hve फ़ाइल की सामग्री को पार्स करने और परिणामों को CSV प्रारूप में आउटपुट करने के लिए AmcacheParser का उपयोग करने का एक उदाहरण है:
Among the generated CSV files, the Amcache_Unassociated file entries is particularly noteworthy due to the rich information it provides about unassociated file entries.
The most interesting CVS file generated is the Amcache_Unassociated file entries.
यह आर्टिफैक्ट केवल W7 में C:\Windows\AppCompat\Programs\RecentFileCache.bcf में पाया जा सकता है और इसमें कुछ बाइनरी के हालिया निष्पादन के बारे में जानकारी होती है।
आप फ़ाइल को पार्स करने के लिए RecentFileCacheParse टूल का उपयोग कर सकते हैं।
आप इन्हें C:\Windows\Tasks या C:\Windows\System32\Tasks से निकाल सकते हैं और XML के रूप में पढ़ सकते हैं।
आप इन्हें रजिस्ट्री में SYSTEM\ControlSet001\Services के तहत पा सकते हैं। आप देख सकते हैं कि क्या निष्पादित होने वाला है और कब।
स्थापित एप्लिकेशन \ProgramData\Microsoft\Windows\AppRepository\ में पाए जा सकते हैं।
इस रिपॉजिटरी में StateRepository-Machine.srd डेटाबेस के अंदर प्रत्येक स्थापित एप्लिकेशन के साथ एक लॉग है।
इस डेटाबेस के एप्लिकेशन तालिका के अंदर, "Application ID", "PackageNumber", और "Display Name" जैसे कॉलम पाए जा सकते हैं। ये कॉलम प्री-इंस्टॉल और स्थापित एप्लिकेशनों के बारे में जानकारी रखते हैं और यह पता लगाया जा सकता है कि क्या कुछ एप्लिकेशन अनइंस्टॉल किए गए थे क्योंकि स्थापित एप्लिकेशनों के IDs अनुक्रमिक होने चाहिए।
आप रजिस्ट्री पथ में भी स्थापित एप्लिकेशन पा सकते हैं: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\
और अनइंस्टॉल एप्लिकेशन में: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\
Windows इवेंट्स के अंदर जो जानकारी दिखाई देती है वह है:
क्या हुआ
टाइमस्टैम्प (UTC + 0)
शामिल उपयोगकर्ता
शामिल होस्ट (hostname, IP)
एक्सेस किए गए एसेट्स (फाइलें, फ़ोल्डर, प्रिंटर, सेवाएँ)
लॉग C:\Windows\System32\config में Windows Vista से पहले और C:\Windows\System32\winevt\Logs में Windows Vista के बाद स्थित हैं। Windows Vista से पहले, इवेंट लॉग बाइनरी प्रारूप में थे और इसके बाद, वे XML प्रारूप में हैं और .evtx एक्सटेंशन का उपयोग करते हैं।
इवेंट फ़ाइलों का स्थान SYSTEM रजिस्ट्री में HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security} में पाया जा सकता है।
इन्हें Windows इवेंट व्यूअर (eventvwr.msc) से या अन्य टूल जैसे Event Log Explorer या Evtx Explorer/EvtxECmd** से देखा जा सकता है।**
एक्सेस इवेंट्स सुरक्षा कॉन्फ़िगरेशन फ़ाइल में दर्ज होते हैं जो C:\Windows\System32\winevt\Security.evtx पर स्थित है। इस फ़ाइल का आकार समायोज्य है, और जब इसकी क्षमता पहुँच जाती है, तो पुराने इवेंट्स ओवरराइट हो जाते हैं। दर्ज इवेंट्स में उपयोगकर्ता लॉगिन और लॉगऑफ, उपयोगकर्ता क्रियाएँ, और सुरक्षा सेटिंग्स में परिवर्तन, साथ ही फ़ाइल, फ़ोल्डर, और साझा एसेट्स का एक्सेस शामिल है।
EventID 4624: संकेत करता है कि एक उपयोगकर्ता सफलतापूर्वक प्रमाणित हुआ।
EventID 4625: प्रमाणन विफलता का संकेत देता है।
EventIDs 4634/4647: उपयोगकर्ता लॉगऑफ इवेंट्स का प्रतिनिधित्व करते हैं।
EventID 4672: प्रशासनिक विशेषाधिकारों के साथ लॉगिन को दर्शाता है।
Interactive (2): प्रत्यक्ष उपयोगकर्ता लॉगिन।
Network (3): साझा फ़ोल्डरों तक पहुँच।
Batch (4): बैच प्रक्रियाओं का निष्पादन।
Service (5): सेवा लॉन्च।
Proxy (6): प्रॉक्सी प्रमाणन।
Unlock (7): पासवर्ड के साथ स्क्रीन अनलॉक।
Network Cleartext (8): स्पष्ट पाठ पासवर्ड ट्रांसमिशन, अक्सर IIS से।
New Credentials (9): पहुँच के लिए विभिन्न प्रमाणपत्रों का उपयोग।
Remote Interactive (10): रिमोट डेस्कटॉप या टर्मिनल सेवाओं का लॉगिन।
Cache Interactive (11): डोमेन कंट्रोलर संपर्क के बिना कैश किए गए प्रमाणपत्रों के साथ लॉगिन।
Cache Remote Interactive (12): कैश किए गए प्रमाणपत्रों के साथ रिमोट लॉगिन।
Cached Unlock (13): कैश किए गए प्रमाणपत्रों के साथ अनलॉक करना।
0xC0000064: उपयोगकर्ता नाम मौजूद नहीं है - यह उपयोगकर्ता नाम enumeration हमले का संकेत दे सकता है।
0xC000006A: सही उपयोगकर्ता नाम लेकिन गलत पासवर्ड - संभावित पासवर्ड अनुमान या ब्रूट-फोर्स प्रयास।
0xC0000234: उपयोगकर्ता खाता लॉक आउट - कई विफल लॉगिन के परिणामस्वरूप ब्रूट-फोर्स हमले का अनुसरण कर सकता है।
0xC0000072: खाता निष्क्रिय - निष्क्रिय खातों तक पहुँच के लिए अनधिकृत प्रयास।
0xC000006F: अनुमति समय के बाहर लॉगिन - सेट लॉगिन घंटों के बाहर पहुँच के प्रयासों का संकेत, अनधिकृत पहुँच का संभावित संकेत।
0xC0000070: कार्यस्थल प्रतिबंधों का उल्लंघन - अनधिकृत स्थान से लॉगिन का प्रयास हो सकता है।
0xC0000193: खाता समाप्ति - समाप्त उपयोगकर्ता खातों के साथ पहुँच के प्रयास।
0xC0000071: समाप्त पासवर्ड - पुरानी पासवर्ड के साथ लॉगिन प्रयास।
0xC0000133: समय समन्वय मुद्दे - क्लाइंट और सर्वर के बीच बड़े समय के अंतर अधिक जटिल हमलों जैसे पास-दी-टिकट का संकेत दे सकते हैं।
0xC0000224: अनिवार्य पासवर्ड परिवर्तन की आवश्यकता - बार-बार अनिवार्य परिवर्तन सुरक्षा को अस्थिर करने के प्रयास का सुझाव दे सकते हैं।
0xC0000225: सुरक्षा मुद्दे के बजाय सिस्टम बग का संकेत देता है।
0xC000015b: अस्वीकृत लॉगिन प्रकार - अनधिकृत लॉगिन प्रकार के साथ पहुँच का प्रयास, जैसे कि एक उपयोगकर्ता सेवा लॉगिन निष्पादित करने की कोशिश कर रहा है।
Time Change: सिस्टम समय में संशोधन, जो घटनाओं की समयरेखा को अस्पष्ट कर सकता है।
System Startup and Shutdown: EventID 6005 सिस्टम के चालू होने का संकेत देता है, जबकि EventID 6006 इसे बंद करने का संकेत देता है।
Log Deletion: सुरक्षा लॉग को साफ करना, जो अक्सर अवैध गतिविधियों को छिपाने के लिए एक लाल झंडा होता है।
20001 / 20003 / 10000: USB डिवाइस का पहला कनेक्शन।
10100: USB ड्राइवर अपडेट।
EventID 112: USB डिवाइस के डालने का समय।
प्रायोगिक उदाहरणों के लिए इन लॉगिन प्रकारों और प्रमाणपत्र डंपिंग के अवसरों को अनुकरण करने के लिए, Altered Security's detailed guide पर जाएं।
इवेंट विवरण, जिसमें स्थिति और उप-स्थिति कोड शामिल हैं, इवेंट के कारणों में और अधिक अंतर्दृष्टि प्रदान करते हैं, विशेष रूप से Event ID 4625 में उल्लेखनीय।
हटाए गए Windows इवेंट्स को पुनर्प्राप्त करने की संभावनाओं को बढ़ाने के लिए, संदिग्ध कंप्यूटर को सीधे अनप्लग करके बंद करना उचित है। Bulk_extractor, एक पुनर्प्राप्ति उपकरण जो .evtx एक्सटेंशन को निर्दिष्ट करता है, ऐसे इवेंट्स को पुनर्प्राप्त करने के प्रयास के लिए अनुशंसित है।
सामान्य साइबर हमलों की पहचान में Windows इवेंट IDs का उपयोग करने के लिए एक व्यापक गाइड के लिए, Red Team Recipe पर जाएं।
कई EventID 4625 रिकॉर्ड द्वारा पहचाने जाने योग्य, यदि हमला सफल होता है तो इसके बाद एक EventID 4624 होता है।
EventID 4616 द्वारा दर्ज, सिस्टम समय में परिवर्तन फोरेंसिक विश्लेषण को जटिल बना सकता है।
USB डिवाइस ट्रैकिंग के लिए उपयोगी सिस्टम EventIDs में प्रारंभिक उपयोग के लिए 20001/20003/10000, ड्राइवर अपडेट के लिए 10100, और DeviceSetupManager से डालने के समय के लिए EventID 112 शामिल हैं।
EventID 6005 सिस्टम के चालू होने का संकेत देता है, जबकि EventID 6006 बंद होने का संकेत देता है।
सुरक्षा EventID 1102 लॉग के हटाने का संकेत देता है, जो फोरेंसिक विश्लेषण के लिए एक महत्वपूर्ण घटना है।
कार्य की सामग्री को दर्शाने वाली एक स्क्रीनशॉट प्रदान की गई है:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
