Windows Artifacts

Windows Artifacts

Generic Windows Artifacts

Windows 10 Notifications

パス \Users\<username>\AppData\Local\Microsoft\Windows\Notifications には、データベース appdb.dat（Windows アニバーサリー前）または wpndatabase.db（Windows アニバーサリー後）があります。

この SQLite データベース内には、興味深いデータを含む可能性のあるすべての通知（XML 形式）の Notification テーブルがあります。

Timeline

Timeline は、訪問したウェブページ、編集した文書、実行したアプリケーションの時系列履歴を提供する Windows の機能です。

データベースは、パス \Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db にあります。このデータベースは、SQLite ツールまたはツール WxTCmd で開くことができ、2 つのファイルを生成し、ツール TimeLine Explorer で開くことができます。

ADS (Alternate Data Streams)

ダウンロードされたファイルには、イントラネット、インターネットなどからどのようにダウンロードされたかを示すADS Zone.Identifierが含まれている場合があります。一部のソフトウェア（ブラウザなど）は、ファイルがダウンロードされたURLなど、さらに多くの情報を提供することがよくあります。

File Backups

Recycle Bin

Vista/Win7/Win8/Win10 では、Recycle Binはドライブのルートにあるフォルダー $Recycle.bin にあります（C:\$Recycle.bin）。 このフォルダーでファイルが削除されると、2 つの特定のファイルが作成されます：

• $I{id}: ファイル情報（削除された日時）

• $R{id}: ファイルの内容

これらのファイルがあれば、ツール Rifiuti を使用して削除されたファイルの元のアドレスと削除された日時を取得できます（Vista – Win10 には rifiuti-vista.exe を使用）。

.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle

ボリュームシャドウコピー

シャドウコピーは、使用中のコンピュータファイルやボリュームのバックアップコピーやスナップショットを作成できるMicrosoft Windowsに含まれる技術です。

これらのバックアップは通常、ファイルシステムのルートから\System Volume Informationにあり、名前は以下の画像に示されているUIDで構成されています。

ArsenalImageMounterでフォレンジックイメージをマウントすると、ツールShadowCopyViewを使用してシャドウコピーを検査し、シャドウコピーのバックアップからファイルを抽出することができます。

レジストリエントリHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestoreには、バックアップしないファイルとキーが含まれています：

レジストリHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSSにも、ボリュームシャドウコピーに関する構成情報が含まれています。

Office自動保存ファイル

Officeの自動保存ファイルは次の場所にあります：C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\

シェルアイテム

シェルアイテムは、別のファイルにアクセスする方法に関する情報を含むアイテムです。

最近の文書 (LNK)

Windowsは、ユーザーが次の場所でファイルを開く、使用する、または作成する際に、これらのショートカットを自動的に****作成します：

• Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\

• Office: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\

フォルダーが作成されると、フォルダーへのリンク、親フォルダーへのリンク、および祖父フォルダーへのリンクも作成されます。

これらの自動的に作成されたリンクファイルは、ファイルかフォルダーか、MAC タイム、ファイルが保存されているボリューム情報、およびターゲットファイルのフォルダーなど、起源に関する情報を含んでいます。この情報は、ファイルが削除された場合にそれらを回復するのに役立ちます。

また、リンクファイルの作成日は、元のファイルが最初に使用された****時間であり、リンクファイルの最終更新日は、元のファイルが使用された最後の時間です。

これらのファイルを検査するには、LinkParserを使用できます。

このツールでは、2セットのタイムスタンプが見つかります：

• 最初のセット:

1. FileModifiedDate

2. FileAccessDate

3. FileCreationDate

• 2番目のセット:

1. LinkModifiedDate

2. LinkAccessDate

3. LinkCreationDate。

最初のセットのタイムスタンプはファイル自体のタイムスタンプを参照します。2番目のセットはリンクされたファイルのタイムスタンプを参照します。

同じ情報は、Windows CLIツールLECmd.exeを実行することで取得できます。

LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs

In this case, the information is going to be saved inside a CSV file.

ジャンプリスト

これらは、アプリケーションごとに示される最近のファイルです。各アプリケーションでアクセスできるアプリケーションによって使用された最近のファイルのリストです。これらは自動的に作成されるか、カスタムで作成されることがあります。

自動的に作成されたジャンプリストは、C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\に保存されます。ジャンプリストは、最初のIDがアプリケーションのIDである{id}.autmaticDestinations-msという形式で命名されます。

カスタムジャンプリストは、C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\に保存され、通常はファイルに重要なことが起こったためにアプリケーションによって作成されます（お気に入りとしてマークされたかもしれません）。

任意のジャンプリストの作成時間は、ファイルが最初にアクセスされた時間を示し、修正時間は最後にアクセスされた時間を示します。

ジャンプリストはJumplistExplorerを使用して検査できます。

(JumplistExplorerによって提供されるタイムスタンプは、ジャンプリストファイル自体に関連しています)

シェルバッグ

このリンクをフォローしてシェルバッグについて学んでください。

Windows USBの使用

USBデバイスが使用されたことを特定することは、以下の作成によって可能です：

• Windows Recent Folder

• Microsoft Office Recent Folder

• ジャンプリスト

一部のLNKファイルは、元のパスを指すのではなく、WPDNSEフォルダーを指しています：

WPDNSEフォルダー内のファイルは元のファイルのコピーであり、PCの再起動では生き残らず、GUIDはシェルバッグから取得されます。

レジストリ情報

このページをチェックして USB接続デバイスに関する興味深い情報を含むレジストリキーを学んでください。

setupapi

USB接続が行われた時刻に関するタイムスタンプを取得するには、ファイルC:\Windows\inf\setupapi.dev.logを確認してください（Section startを検索）。

USB Detective

USBDetectiveは、画像に接続されたUSBデバイスに関する情報を取得するために使用できます。

プラグアンドプレイのクリーンアップ

「プラグアンドプレイのクリーンアップ」として知られるスケジュールされたタスクは、主に古いドライバーバージョンの削除を目的としています。最新のドライバーパッケージバージョンを保持するという指定された目的とは対照的に、オンラインソースは、30日間非アクティブなドライバーも対象にしていることを示唆しています。したがって、過去30日間接続されていないリムーバブルデバイスのドライバーは削除される可能性があります。

タスクは次のパスにあります：C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup。

タスクの内容を示すスクリーンショットが提供されています：

タスクの主要コンポーネントと設定：

• pnpclean.dll：このDLLは実際のクリーンアッププロセスを担当します。

• UseUnifiedSchedulingEngine：TRUEに設定されており、一般的なタスクスケジューリングエンジンの使用を示します。

• MaintenanceSettings：

• Period ('P1M')：タスクスケジューラに、定期的な自動メンテナンス中に毎月クリーンアップタスクを開始するよう指示します。

• Deadline ('P2M')：タスクスケジューラに、タスクが2か月連続で失敗した場合、緊急自動メンテナンス中にタスクを実行するよう指示します。

この構成により、ドライバーの定期的なメンテナンスとクリーンアップが確保され、連続して失敗した場合のタスクの再試行のための規定が設けられています。

詳細については、次を確認してください： https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html

メール

メールには2つの興味深い部分があります：ヘッダーとメールの内容。ヘッダーには次のような情報が含まれています：

• 誰がメールを送信したか（メールアドレス、IP、メールをリダイレクトしたメールサーバー）

• いつメールが送信されたか

また、ReferencesおよびIn-Reply-Toヘッダー内にはメッセージのIDが含まれています：

Windowsメールアプリ

このアプリケーションは、メールをHTMLまたはテキストで保存します。メールは、\Users\<username>\AppData\Local\Comms\Unistore\data\3\内のサブフォルダーにあります。メールは.dat拡張子で保存されます。

メールのメタデータと連絡先は、EDBデータベース内にあります：\Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol

ファイルの拡張子を.volから.edbに変更すると、ツールESEDatabaseViewを使用して開くことができます。Messageテーブル内でメールを見ることができます。

Microsoft Outlook

ExchangeサーバーまたはOutlookクライアントが使用されると、いくつかのMAPIヘッダーが存在します：

• Mapi-Client-Submit-Time：メールが送信されたときのシステムの時間

• Mapi-Conversation-Index：スレッドの子メッセージの数と各メッセージのタイムスタンプ

• Mapi-Entry-ID：メッセージ識別子。

• Mappi-Message-FlagsおよびPr_last_Verb-Executed：MAPIクライアントに関する情報（メッセージは読まれたか？未読か？応答されたか？リダイレクトされたか？不在か？）

Microsoft Outlookクライアントでは、送信/受信されたすべてのメッセージ、連絡先データ、およびカレンダーデータは、次の場所にあるPSTファイルに保存されます：

• %USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook（WinXP）

• %USERPROFILE%\AppData\Local\Microsoft\Outlook

レジストリパスHKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlookは、使用されているファイルを示しています。

PSTファイルは、ツールKernel PST Viewerを使用して開くことができます。

Microsoft Outlook OSTファイル

OSTファイルは、Microsoft OutlookがIMAPまたはExchangeサーバーで構成されると生成され、PSTファイルと同様の情報を保存します。このファイルはサーバーと同期され、過去12か月間のデータを保持し、最大サイズは50GBで、PSTファイルと同じディレクトリにあります。OSTファイルを表示するには、Kernel OST viewerを利用できます。

添付ファイルの取得

失われた添付ファイルは、以下から回復可能かもしれません：

• IE10の場合：%APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook

• IE11以降の場合：%APPDATA%\Local\Microsoft\InetCache\Content.Outlook

Thunderbird MBOXファイル

Thunderbirdは、データを保存するためにMBOXファイルを使用し、 \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profilesにあります。

画像サムネイル

• Windows XPおよび8-8.1：サムネイルを含むフォルダーにアクセスすると、削除後も画像プレビューを保存するthumbs.dbファイルが生成されます。

• Windows 7/10：UNCパス経由でネットワークにアクセスするとthumbs.dbが作成されます。

• Windows Vista以降：サムネイルプレビューは%userprofile%\AppData\Local\Microsoft\Windows\Explorerに集中し、thumbcache_xxx.dbという名前のファイルが作成されます。ThumbsviewerおよびThumbCache Viewerは、これらのファイルを表示するためのツールです。

Windowsレジストリ情報

Windowsレジストリは、広範なシステムおよびユーザー活動データを保存し、次のファイルに含まれています：

• %windir%\System32\Configは、さまざまなHKEY_LOCAL_MACHINEサブキー用です。

• %UserProfile%{User}\NTUSER.DATは、HKEY_CURRENT_USER用です。

• Windows Vista以降のバージョンでは、HKEY_LOCAL_MACHINEレジストリファイルが%Windir%\System32\Config\RegBack\にバックアップされます。

• さらに、プログラム実行情報は、Windows VistaおよびWindows 2008 Server以降の%UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DATに保存されます。

ツール

レジストリファイルを分析するために役立つツールがいくつかあります：

• レジストリエディタ：Windowsにインストールされています。現在のセッションのWindowsレジストリをナビゲートするためのGUIです。

• Registry Explorer：レジストリファイルをロードし、GUIでナビゲートすることを可能にします。また、興味深い情報を持つキーをハイライトするブックマークも含まれています。

• RegRipper：再び、ロードされたレジストリをナビゲートするためのGUIを持ち、ロードされたレジストリ内の興味深い情報をハイライトするプラグインも含まれています。

• Windows Registry Recovery：レジストリから重要な情報を抽出できる別のGUIアプリケーションです。

削除された要素の回復

キーが削除されると、そのようにマークされますが、占有しているスペースが必要になるまで削除されません。したがって、Registry Explorerのようなツールを使用すると、これらの削除されたキーを回復することが可能です。

最終書き込み時間

各キー-値には、最後に変更された時間を示すタイムスタンプが含まれています。

SAM

ファイル/ハイブSAMには、システムのユーザー、グループ、およびユーザーパスワードのハッシュが含まれています。

SAM\Domains\Account\Usersで、ユーザー名、RID、最終ログイン、最終失敗ログオン、ログインカウンター、パスワードポリシー、およびアカウントが作成された日時を取得できます。ハッシュを取得するには、ファイル/ハイブSYSTEMも必要です。

Windowsレジストリの興味深いエントリ

実行されたプログラム

基本的なWindowsプロセス

この投稿では、疑わしい動作を検出するための一般的なWindowsプロセスについて学ぶことができます。

Windows Recent APPs

レジストリNTUSER.DAT内のパスSoftware\Microsoft\Current Version\Search\RecentAppsには、実行されたアプリケーション、最後に実行された時間、および起動された回数に関する情報を含むサブキーがあります。

BAM（バックグラウンドアクティビティモデレーター）

レジストリエディタでSYSTEMファイルを開き、パスSYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}内で、各ユーザーによって実行されたアプリケーションに関する情報（パス内の{SID}に注意）と実行された時間を見つけることができます（時間はレジストリのデータ値内にあります）。

Windowsプリフェッチ

プリフェッチは、コンピュータがユーザーが近い将来にアクセスする可能性のあるコンテンツを表示するために必要なリソースを静かに取得することを可能にする技術です。これにより、リソースに迅速にアクセスできるようになります。

Windowsプリフェッチは、実行されたプログラムのキャッシュを作成して、より迅速にロードできるようにします。これらのキャッシュは、C:\Windows\Prefetch内に.pfファイルとして作成されます。XP/VISTA/WIN7では128ファイル、Win8/Win10では1024ファイルの制限があります。

ファイル名は{program_name}-{hash}.pfとして作成されます（ハッシュは実行可能ファイルのパスと引数に基づいています）。W10では、これらのファイルは圧縮されています。ファイルの存在は、プログラムが実行されたことを示しています。

ファイルC:\Windows\Prefetch\Layout.iniには、プリフェッチされたファイルのフォルダーの名前が含まれています。このファイルには、実行回数、実行日、およびプログラムによって開かれた**ファイルに関する情報が含まれています。

これらのファイルを検査するには、ツールPEcmd.exeを使用できます。

.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"

Superprefetch

Superprefetch は、次に読み込まれるものを予測することによって プログラムをより速く読み込む という同じ目的を持っています。しかし、これはプリフェッチサービスの代わりにはなりません。 このサービスは C:\Windows\Prefetch\Ag*.db にデータベースファイルを生成します。

これらのデータベースには、プログラムの名前、実行回数、開かれたファイル、アクセスされたボリューム、完全なパス、時間枠、および タイムスタンプ が含まれています。

この情報には、ツール CrowdResponse を使用してアクセスできます。

SRUM

System Resource Usage Monitor (SRUM) は、プロセスによって消費されるリソースを監視します。これはW8で登場し、C:\Windows\System32\sru\SRUDB.dat にESEデータベースとしてデータを保存します。

以下の情報を提供します：

• AppID とパス

• プロセスを実行したユーザー

• 送信バイト数

• 受信バイト数

• ネットワークインターフェース

• 接続の持続時間

• プロセスの持続時間

この情報は60分ごとに更新されます。

このファイルから日付を取得するには、ツール srum_dump を使用できます。

.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum

AppCompatCache (ShimCache)

AppCompatCache、またはShimCacheは、Microsoftがアプリケーションの互換性の問題に対処するために開発したApplication Compatibility Databaseの一部です。このシステムコンポーネントは、以下のファイルメタデータのさまざまな情報を記録します。

• ファイルのフルパス

• ファイルのサイズ

• $Standard_Information (SI) の最終更新時刻

• ShimCacheの最終更新時刻

• プロセス実行フラグ

このデータは、オペレーティングシステムのバージョンに基づいて特定の場所にレジストリ内に保存されます。

• XPの場合、データは SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache に保存され、96エントリの容量があります。

• Server 2003およびWindowsのバージョン2008、2012、2016、7、8、10の場合、ストレージパスは SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache で、512および1024エントリをそれぞれ収容します。

保存された情報を解析するには、AppCompatCacheParserツールの使用が推奨されます。

Amcache

Amcache.hveファイルは、システム上で実行されたアプリケーションの詳細を記録するレジストリハイブです。通常、C:\Windows\AppCompat\Programas\Amcache.hveに見つかります。

このファイルは、実行されたプロセスの記録を保存することで注目されており、実行可能ファイルへのパスやそのSHA1ハッシュを含みます。この情報は、システム上のアプリケーションの活動を追跡するために非常に貴重です。

Amcache.hveからデータを抽出して分析するには、AmcacheParserツールを使用できます。以下のコマンドは、AmcacheParserを使用してAmcache.hveファイルの内容を解析し、結果をCSV形式で出力する方法の例です。

AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder

Among the generated CSV files, the Amcache_Unassociated file entries is particularly noteworthy due to the rich information it provides about unassociated file entries.

生成されたCSVファイルの中で、Amcache_Unassociated file entriesは、関連付けられていないファイルエントリに関する豊富な情報を提供するため、特に注目に値します。

The most interesting CVS file generated is the Amcache_Unassociated file entries.

生成された最も興味深いCVSファイルは、Amcache_Unassociated file entriesです。

RecentFileCache

This artifact can only be found in W7 in C:\Windows\AppCompat\Programs\RecentFileCache.bcf and it contains information about the recent execution of some binaries.

このアーティファクトはW7のC:\Windows\AppCompat\Programs\RecentFileCache.bcfにのみ存在し、いくつかのバイナリの最近の実行に関する情報を含んでいます。

You can use the tool RecentFileCacheParse to parse the file.

ファイルを解析するには、ツールRecentFileCacheParseを使用できます。

Scheduled tasks

You can extract them from C:\Windows\Tasks or C:\Windows\System32\Tasks and read them as XML.

それらはC:\Windows\TasksまたはC:\Windows\System32\Tasksから抽出でき、XMLとして読むことができます。

Services

You can find them in the registry under SYSTEM\ControlSet001\Services. You can see what is going to be executed and when.

それらはレジストリのSYSTEM\ControlSet001\Servicesに見つけることができます。何がいつ実行されるかを見ることができます。

Windows Store

The installed applications can be found in \ProgramData\Microsoft\Windows\AppRepository\ This repository has a log with each application installed in the system inside the database StateRepository-Machine.srd.

インストールされたアプリケーションは\ProgramData\Microsoft\Windows\AppRepository\に見つけることができます。 このリポジトリには、データベース**StateRepository-Machine.srd内にシステムにインストールされた各アプリケーションのログ**があります。

Inside the Application table of this database, it's possible to find the columns: "Application ID", "PackageNumber", and "Display Name". These columns have information about pre-installed and installed applications and it can be found if some applications were uninstalled because the IDs of installed applications should be sequential.

このデータベースのアプリケーションテーブル内には、「Application ID」、「PackageNumber」、「Display Name」という列があります。これらの列には、プリインストールされたアプリケーションとインストールされたアプリケーションに関する情報が含まれており、インストールされたアプリケーションのIDは連続している必要があるため、いくつかのアプリケーションがアンインストールされたかどうかを確認できます。

It's also possible to find installed application inside the registry path: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\ And uninstalled applications in: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\

レジストリパスSoftware\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\内でインストールされたアプリケーションを見つけることも可能です。 そして、Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\にアンインストールされた アプリケーションがあります。

Windows Events

Information that appears inside Windows events are:

Windowsイベント内に表示される情報は次のとおりです。

• What happened

• Timestamp (UTC + 0)

• Users involved

• Hosts involved (hostname, IP)

• Assets accessed (files, folder, printer, services)

何が起こったか タイムスタンプ（UTC + 0） 関与したユーザー 関与したホスト（ホスト名、IP） アクセスされた資産（ファイル、フォルダー、プリンター、サービス）

The logs are located in C:\Windows\System32\config before Windows Vista and in C:\Windows\System32\winevt\Logs after Windows Vista. Before Windows Vista, the event logs were in binary format and after it, they are in XML format and use the .evtx extension.

ログは、Windows Vista以前はC:\Windows\System32\configに、Windows Vista以降はC:\Windows\System32\winevt\Logsにあります。Windows Vista以前はイベントログはバイナリ形式であり、その後はXML形式で**.evtx**拡張子を使用しています。

The location of the event files can be found in the SYSTEM registry in HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}

イベントファイルの場所は、SYSTEMレジストリの**HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}**に見つけることができます。

They can be visualized from the Windows Event Viewer (eventvwr.msc) or with other tools like Event Log Explorer or Evtx Explorer/EvtxECmd.

それらはWindowsイベントビューア（eventvwr.msc）から視覚化することができ、Event Log Explorer や Evtx Explorer/EvtxECmdのような他のツールでも視覚化できます。

Understanding Windows Security Event Logging

Access events are recorded in the security configuration file located at C:\Windows\System32\winevt\Security.evtx. This file's size is adjustable, and when its capacity is reached, older events are overwritten. Recorded events include user logins and logoffs, user actions, and changes to security settings, as well as file, folder, and shared asset access.

アクセスイベントは、C:\Windows\System32\winevt\Security.evtxにあるセキュリティ構成ファイルに記録されます。このファイルのサイズは調整可能で、容量に達すると古いイベントが上書きされます。記録されたイベントには、ユーザーログインとログオフ、ユーザーアクション、セキュリティ設定の変更、ファイル、フォルダー、および共有資産へのアクセスが含まれます。

Key Event IDs for User Authentication:

ユーザー認証のための主要なイベントID：

• EventID 4624: Indicates a user successfully authenticated.

• EventID 4625: Signals an authentication failure.

• EventIDs 4634/4647: Represent user logoff events.

• EventID 4672: Denotes login with administrative privileges.

• EventID 4624: ユーザーが正常に認証されたことを示します。\

• EventID 4625: 認証の失敗を示します。\

• EventIDs 4634/4647: ユーザーログオフイベントを表します。\

• EventID 4672: 管理者権限でのログインを示します。

Sub-types within EventID 4634/4647:

• Interactive (2): Direct user login.

• Network (3): Access to shared folders.

• Batch (4): Execution of batch processes.

• Service (5): Service launches.

• Proxy (6): Proxy authentication.

• Unlock (7): Screen unlocked with a password.

• Network Cleartext (8): Clear text password transmission, often from IIS.

• New Credentials (9): Usage of different credentials for access.

• Remote Interactive (10): Remote desktop or terminal services login.

• Cache Interactive (11): Login with cached credentials without domain controller contact.

• Cache Remote Interactive (12): Remote login with cached credentials.

• Cached Unlock (13): Unlocking with cached credentials.

EventID 4616:

• Time Change: Modification of the system time, could obscure the timeline of events.

EventID 6005 and 6006:

• System Startup and Shutdown: EventID 6005 indicates the system starting up, while EventID 6006 marks it shutting down.

EventID 1102:

• Log Deletion: Security logs being cleared, which is often a red flag for covering up illicit activities.

EventIDs for USB Device Tracking:

• 20001 / 20003 / 10000: USB device first connection.

• 10100: USB driver update.

• EventID 112: Time of USB device insertion.

USBデバイストラッキングのためのイベントID：

• 20001 / 20003 / 10000: USBデバイスの最初の接続。\

• 10100: USBドライバーの更新。\

• EventID 112: USBデバイス挿入の時間。

For practical examples on simulating these login types and credential dumping opportunities, refer to Altered Security's detailed guide.

これらのログインタイプや資格情報ダンプの機会をシミュレートする実用的な例については、Altered Securityの詳細ガイドを参照してください。

Event details, including status and sub-status codes, provide further insights into event causes, particularly notable in Event ID 4625.

イベントの詳細、ステータスおよびサブステータスコードを含む情報は、特にEvent ID 4625でのイベントの原因に関するさらなる洞察を提供します。

Recovering Windows Events

To enhance the chances of recovering deleted Windows Events, it's advisable to power down the suspect computer by directly unplugging it. Bulk_extractor, a recovery tool specifying the .evtx extension, is recommended for attempting to recover such events.

Identifying Common Attacks via Windows Events

For a comprehensive guide on utilizing Windows Event IDs in identifying common cyber attacks, visit Red Team Recipe.

Brute Force Attacks

Identifiable by multiple EventID 4625 records, followed by an EventID 4624 if the attack succeeds.

Time Change

Recorded by EventID 4616, changes to system time can complicate forensic analysis.

USB Device Tracking

Useful System EventIDs for USB device tracking include 20001/20003/10000 for initial use, 10100 for driver updates, and EventID 112 from DeviceSetupManager for insertion timestamps.

System Power Events

EventID 6005 indicates system startup, while EventID 6006 marks shutdown.

Log Deletion

Security EventID 1102 signals the deletion of logs, a critical event for forensic analysis.