Windows Artifacts
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
U putanji \Users\<username>\AppData\Local\Microsoft\Windows\Notifications
možete pronaći bazu podataka appdb.dat
(pre Windows godišnjice) ili wpndatabase.db
(posle Windows godišnjice).
Unutar ove SQLite baze podataka, možete pronaći tabelu Notification
sa svim obaveštenjima (u XML formatu) koja mogu sadržati zanimljive podatke.
Timeline je karakteristika Windows-a koja pruža hronološku istoriju web stranica koje su posećene, uređivanih dokumenata i izvršenih aplikacija.
Baza podataka se nalazi u putanji \Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db
. Ova baza podataka može se otvoriti sa SQLite alatom ili sa alatom WxTCmd koji generiše 2 fajla koja se mogu otvoriti sa alatom TimeLine Explorer.
Preuzeti fajlovi mogu sadržati ADS Zone.Identifier koji ukazuje kako je preuzet sa intraneta, interneta itd. Neki softver (kao što su pregledači) obično dodaju čak i više informacija kao što je URL sa kojeg je fajl preuzet.
U Vista/Win7/Win8/Win10 Recycle Bin se može pronaći u folderu $Recycle.bin
u korenu diska (C:\$Recycle.bin
).
Kada se fajl obriše u ovom folderu, kreiraju se 2 specifična fajla:
$I{id}
: Informacije o fajlu (datum kada je obrisan)
$R{id}
: Sadržaj fajla
Imajući ove fajlove, možete koristiti alat Rifiuti da dobijete originalnu adresu obrisanih fajlova i datum kada je obrisan (koristite rifiuti-vista.exe
za Vista – Win10).
Shadow Copy je tehnologija uključena u Microsoft Windows koja može da kreira rezervne kopije ili snimke datoteka ili volumena računara, čak i kada su u upotrebi.
Ove rezervne kopije se obično nalaze u \System Volume Information
iz korena datotečnog sistema, a naziv se sastoji od UID-ova prikazanih na sledećoj slici:
Montiranjem forenzičke slike sa ArsenalImageMounter, alat ShadowCopyView može se koristiti za inspekciju shadow copy-a i čak izvlačenje datoteka iz rezervnih kopija shadow copy-a.
Unos u registru HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore
sadrži datoteke i ključeve koje ne treba rezervisati:
Registar HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS
takođe sadrži informacije o konfiguraciji Volume Shadow Copies
.
Možete pronaći automatski sačuvane datoteke u kancelariji na: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\
Shell item je stavka koja sadrži informacije o tome kako pristupiti drugoj datoteci.
Windows automatski kreira ove prečice kada korisnik otvori, koristi ili kreira datoteku u:
Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
Office: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\
Kada se kreira folder, takođe se kreira veza do foldera, do roditeljskog foldera i do foldera bake.
Ove automatski kreirane datoteke sa linkovima sadrže informacije o poreklu kao što su da li je to datoteka ili folder, MAC vremena te datoteke, informacije o volumenu gde je datoteka smeštena i folder ciljne datoteke. Ove informacije mogu biti korisne za oporavak tih datoteka u slučaju da su uklonjene.
Takođe, datum kreiranja linka datoteke je prvi put kada je originalna datoteka prvi put korisćena, a datum modifikacije link datoteke je poslednji put kada je izvorna datoteka korišćena.
Da biste inspektovali ove datoteke, možete koristiti LinkParser.
U ovom alatu ćete pronaći 2 skupa vremenskih oznaka:
Prvi skup:
FileModifiedDate
FileAccessDate
FileCreationDate
Drugi skup:
LinkModifiedDate
LinkAccessDate
LinkCreationDate.
Prvi skup vremenskih oznaka se odnosi na vremenske oznake same datoteke. Drugi skup se odnosi na vremenske oznake povezane datoteke.
Istu informaciju možete dobiti pokretanjem Windows CLI alata: LECmd.exe
In this case, informacije će biti sačuvane unutar CSV datoteke.
Ovo su nedavne datoteke koje su označene po aplikaciji. To je lista nedavnih datoteka korišćenih od strane aplikacije kojoj možete pristupiti u svakoj aplikaciji. Mogu biti kreirane automatski ili po meri.
Jumplists kreirane automatski se čuvaju u C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\
. Jumplists su imenovane prema formatu {id}.autmaticDestinations-ms
gde je početni ID ID aplikacije.
Prilagođeni jumplists se čuvaju u C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\
i obično ih kreira aplikacija jer se nešto važnog dogodilo sa datotekom (možda označeno kao omiljeno).
Vreme kreiranja bilo kog jumplista označava prvi put kada je datoteka pristupljena i vreme modifikacije poslednji put.
Možete pregledati jumplists koristeći JumplistExplorer.
(Napomena da su vremenske oznake koje pruža JumplistExplorer povezane sa samom jumplist datotekom)
Pratite ovaj link da saznate šta su shellbags.
Moguće je identifikovati da je USB uređaj korišćen zahvaljujući kreiranju:
Windows Recent Folder
Microsoft Office Recent Folder
Jumplists
Napomena da neka LNK datoteka umesto da pokazuje na originalni put, pokazuje na WPDNSE folder:
Datoteke u WPDNSE folderu su kopije originalnih, stoga neće preživeti restart PC-a i GUID se uzima iz shellbaga.
Proverite ovu stranicu da saznate koji registry ključevi sadrže zanimljive informacije o USB povezanim uređajima.
Proverite datoteku C:\Windows\inf\setupapi.dev.log
da dobijete vremenske oznake o tome kada je USB konekcija izvršena (potražite Section start
).
USBDetective može se koristiti za dobijanje informacija o USB uređajima koji su bili povezani sa slikom.
Zakazana aktivnost poznata kao 'Plug and Play Cleanup' prvenstveno je dizajnirana za uklanjanje zastarelih verzija drajvera. Suprotno njenoj specificiranoj svrsi zadržavanja najnovije verzije paketa drajvera, online izvori sugerišu da takođe cilja drajvere koji su bili neaktivni 30 dana. Kao rezultat, drajveri za uklonjive uređaje koji nisu povezani u poslednjih 30 dana mogu biti podložni brisanju.
Zadatak se nalazi na sledećem putu: C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup
.
Ključne komponente i podešavanja zadatka:
pnpclean.dll: Ova DLL je odgovorna za stvarni proces čišćenja.
UseUnifiedSchedulingEngine: Podešeno na TRUE
, što ukazuje na korišćenje generičkog mehanizma za zakazivanje zadataka.
MaintenanceSettings:
Period ('P1M'): Usmerava Task Scheduler da pokrene zadatak čišćenja mesečno tokom redovnog automatskog održavanja.
Deadline ('P2M'): Upravlja Task Scheduler-om, ako zadatak ne uspe dva uzastopna meseca, da izvrši zadatak tokom hitnog automatskog održavanja.
Ova konfiguracija osigurava redovno održavanje i čišćenje drajvera, sa odredbama za ponovni pokušaj zadatka u slučaju uzastopnih neuspeha.
Za više informacija proverite: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html
Emailovi sadrže 2 zanimljiva dela: zaglavlja i sadržaj emaila. U zaglavljima možete pronaći informacije kao što su:
Ko je poslao emailove (email adresa, IP, mail serveri koji su preusmerili email)
Kada je email poslat
Takođe, unutar References
i In-Reply-To
zaglavlja možete pronaći ID poruka:
Ova aplikacija čuva emailove u HTML-u ili tekstu. Možete pronaći emailove unutar podfoldera unutar \Users\<username>\AppData\Local\Comms\Unistore\data\3\
. Emailovi se čuvaju sa .dat
ekstenzijom.
Metapodaci emailova i kontakti mogu se naći unutar EDB baze podataka: \Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol
Promenite ekstenziju datoteke iz .vol
u .edb
i možete koristiti alat ESEDatabaseView da je otvorite. Unutar Message
tabele možete videti emailove.
Kada se koriste Exchange serveri ili Outlook klijenti, biće prisutni neki MAPI zaglavlja:
Mapi-Client-Submit-Time
: Vreme sistema kada je email poslat
Mapi-Conversation-Index
: Broj poruka u thread-u i vremenska oznaka svake poruke u thread-u
Mapi-Entry-ID
: Identifikator poruke.
Mappi-Message-Flags
i Pr_last_Verb-Executed
: Informacije o MAPI klijentu (poruka pročitana? nije pročitana? odgovoreno? preusmereno? van kancelarije?)
U Microsoft Outlook klijentu, sve poslate/primljene poruke, podaci o kontaktima i podaci o kalendaru se čuvaju u PST datoteci u:
%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook
(WinXP)
%USERPROFILE%\AppData\Local\Microsoft\Outlook
Putanja u registru HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook
ukazuje na datoteku koja se koristi.
Možete otvoriti PST datoteku koristeći alat Kernel PST Viewer.
OST datoteka se generiše od strane Microsoft Outlook-a kada je konfigurisan sa IMAP ili Exchange serverom, čuvajući slične informacije kao PST datoteka. Ova datoteka se sinhronizuje sa serverom, zadržavajući podatke za poslednjih 12 meseci do maksimalne veličine od 50GB, i nalazi se u istoj direktoriji kao PST datoteka. Da biste pregledali OST datoteku, može se koristiti Kernel OST viewer.
Izgubljeni dodaci mogu biti dostupni iz:
Za IE10: %APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook
Za IE11 i više: %APPDATA%\Local\Microsoft\InetCache\Content.Outlook
Thunderbird koristi MBOX datoteke za čuvanje podataka, smeštene u \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles
.
Windows XP i 8-8.1: Pristup folderu sa sličicama generiše thumbs.db
datoteku koja čuva prikaze slika, čak i nakon brisanja.
Windows 7/10: thumbs.db
se kreira kada se pristupa preko mreže putem UNC puta.
Windows Vista i noviji: Prikazi sličica su centralizovani u %userprofile%\AppData\Local\Microsoft\Windows\Explorer
sa datotekama imenovanim thumbcache_xxx.db. Thumbsviewer i ThumbCache Viewer su alati za pregled ovih datoteka.
Windows Registry, koji čuva opsežne podatke o sistemu i korisničkim aktivnostima, sadrži se unutar datoteka u:
%windir%\System32\Config
za razne HKEY_LOCAL_MACHINE
podključeve.
%UserProfile%{User}\NTUSER.DAT
za HKEY_CURRENT_USER
.
Windows Vista i novije verzije prave rezervne kopije HKEY_LOCAL_MACHINE
registry datoteka u %Windir%\System32\Config\RegBack\
.
Pored toga, informacije o izvršenju programa se čuvaju u %UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT
od Windows Vista i Windows 2008 Server nadalje.
Neki alati su korisni za analizu registry datoteka:
Registry Editor: Instaliran je u Windows-u. To je GUI za navigaciju kroz Windows registry trenutne sesije.
Registry Explorer: Omogućava vam da učitate registry datoteku i navigirate kroz njih sa GUI-jem. Takođe sadrži oznake koje ističu ključeve sa zanimljivim informacijama.
RegRipper: Takođe ima GUI koji omogućava navigaciju kroz učitani registry i sadrži dodatke koji ističu zanimljive informacije unutar učitanog registry-a.
Windows Registry Recovery: Još jedna GUI aplikacija sposobna da izvuče važne informacije iz učitanog registry-a.
Kada se ključ obriše, označen je kao takav, ali dok prostor koji zauzima nije potreban, neće biti uklonjen. Stoga, korišćenjem alata kao što je Registry Explorer, moguće je povratiti ove obrisane ključeve.
Svaki Key-Value sadrži vremensku oznaku koja označava poslednji put kada je modifikovan.
Datoteka/hive SAM sadrži korisnike, grupe i heširane lozinke korisnika sistema.
U SAM\Domains\Account\Users
možete dobiti korisničko ime, RID, poslednju prijavu, poslednji neuspešni pokušaj prijave, brojač prijava, politiku lozinki i kada je nalog kreiran. Da biste dobili hešove, takođe trebate datoteku/hive SYSTEM.
U ovom postu možete saznati o uobičajenim Windows procesima za otkrivanje sumnjivih ponašanja.
Unutar registry NTUSER.DAT
na putu Software\Microsoft\Current Version\Search\RecentApps
možete pronaći podključeve sa informacijama o izvršenoj aplikaciji, poslednjem putu kada je izvršena, i broju puta kada je pokrenuta.
Možete otvoriti SYSTEM
datoteku sa registry editorom i unutar puta SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}
možete pronaći informacije o aplikacijama koje je izvršio svaki korisnik (napomena na {SID}
u putu) i u koje vreme su izvršene (vreme je unutar Data vrednosti registry-a).
Prefetching je tehnika koja omogućava računaru da tiho preuzme potrebne resurse potrebne za prikazivanje sadržaja koji korisnik može pristupiti u bliskoj budućnosti kako bi se resursi mogli brže pristupiti.
Windows prefetch se sastoji od kreiranja kešova izvršenih programa kako bi ih mogli brže učitati. Ovi keševi se kreiraju kao .pf
datoteke unutar puta: C:\Windows\Prefetch
. Postoji limit od 128 datoteka u XP/VISTA/WIN7 i 1024 datoteke u Win8/Win10.
Ime datoteke se kreira kao {program_name}-{hash}.pf
(heš se zasniva na putu i argumentima izvršne datoteke). U W10 ove datoteke su kompresovane. Imajte na umu da sama prisutnost datoteke ukazuje da je program izvršen u nekom trenutku.
Datoteka C:\Windows\Prefetch\Layout.ini
sadrži imena foldera datoteka koje su prefethed. Ova datoteka sadrži informacije o broju izvršenja, datumima izvršenja i datotekama otvorenim od strane programa.
Da biste pregledali ove datoteke, možete koristiti alat PEcmd.exe:
Superprefetch ima isti cilj kao i prefetch, brže učitavanje programa predviđanjem šta će biti učitano sledeće. Međutim, ne zamenjuje prefetch servis.
Ova usluga će generisati datoteke baze podataka u C:\Windows\Prefetch\Ag*.db
.
U ovim bazama podataka možete pronaći ime programa, broj izvršavanja, otvorene datoteke, pristup volumenu, potpunu putanju, vremenske okvire i vremenske oznake.
Možete pristupiti ovim informacijama koristeći alat CrowdResponse.
Monitor korišćenja sistemskih resursa (SRUM) prati resurse koje koristi proces. Pojavio se u W8 i čuva podatke u ESE bazi podataka smeštenoj u C:\Windows\System32\sru\SRUDB.dat
.
Daje sledeće informacije:
AppID i Putanja
Korisnik koji je izvršio proces
Poslati bajtovi
Primljeni bajtovi
Mrežni interfejs
Trajanje veze
Trajanje procesa
Ove informacije se ažuriraju svake 60 minuta.
Možete dobiti podatke iz ove datoteke koristeći alat srum_dump.
AppCompatCache, poznat i kao ShimCache, deo je Baze podataka o kompatibilnosti aplikacija koju je razvila Microsoft kako bi se rešili problemi sa kompatibilnošću aplikacija. Ova sistemska komponenta beleži razne delove metapodataka o datotekama, koji uključuju:
Puni put do datoteke
Veličinu datoteke
Vreme poslednje izmene pod $Standard_Information (SI)
Vreme poslednje ažuriranja ShimCache-a
Zastavicu izvršenja procesa
Ovi podaci se čuvaju u registru na specifičnim lokacijama u zavisnosti od verzije operativnog sistema:
Za XP, podaci se čuvaju pod SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache
sa kapacitetom za 96 unosa.
Za Server 2003, kao i za verzije Windows-a 2008, 2012, 2016, 7, 8 i 10, putanja za skladištenje je SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache
, sa kapacitetom od 512 i 1024 unosa, respektivno.
Za parsiranje sačuvanih informacija, preporučuje se korišćenje alata AppCompatCacheParser.
Datoteka Amcache.hve je u suštini hives registratora koja beleži detalje o aplikacijama koje su izvršene na sistemu. Obično se nalazi na C:\Windows\AppCompat\Programas\Amcache.hve
.
Ova datoteka je značajna jer čuva zapise o nedavno izvršenim procesima, uključujući puteve do izvršnih datoteka i njihove SHA1 heš vrednosti. Ove informacije su neprocenjive za praćenje aktivnosti aplikacija na sistemu.
Za ekstrakciju i analizu podataka iz Amcache.hve, može se koristiti alat AmcacheParser. Sledeća komanda je primer kako koristiti AmcacheParser za parsiranje sadržaja datoteke Amcache.hve i izlaz rezultata u CSV formatu:
Među generisanim CSV datotekama, Amcache_Unassociated file entries
je posebno značajan zbog bogatih informacija koje pruža o neudruženim unosima datoteka.
Najzanimljivija CVS datoteka koja je generisana je Amcache_Unassociated file entries
.
Ovaj artefakt se može naći samo u W7 u C:\Windows\AppCompat\Programs\RecentFileCache.bcf
i sadrži informacije o nedavnoj izvršavanju nekih binarnih datoteka.
Možete koristiti alat RecentFileCacheParse za analizu datoteke.
Možete ih izvući iz C:\Windows\Tasks
ili C:\Windows\System32\Tasks
i pročitati ih kao XML.
Možete ih pronaći u registru pod SYSTEM\ControlSet001\Services
. Možete videti šta će biti izvršeno i kada.
Instalirane aplikacije se mogu naći u \ProgramData\Microsoft\Windows\AppRepository\
Ova biblioteka ima log sa svakom instaliranom aplikacijom u sistemu unutar baze podataka StateRepository-Machine.srd
.
Unutar tabele aplikacija ove baze podataka, moguće je pronaći kolone: "Application ID", "PackageNumber" i "Display Name". Ove kolone imaju informacije o unapred instaliranim i instaliranim aplikacijama i može se utvrditi da li su neke aplikacije deinstalirane jer bi ID-ovi instaliranih aplikacija trebali biti sekvencijalni.
Takođe je moguće pronaći instaliranu aplikaciju unutar registra na putanji: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\
I deinstalirane aplikacije u: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\
Informacije koje se pojavljuju unutar Windows događaja su:
Šta se desilo
Vreme (UTC + 0)
Uključeni korisnici
Uključeni hostovi (hostname, IP)
Pristupeni resursi (datoteke, folderi, štampači, servisi)
Logovi se nalaze u C:\Windows\System32\config
pre Windows Vista i u C:\Windows\System32\winevt\Logs
posle Windows Vista. Pre Windows Vista, logovi događaja su bili u binarnom formatu, a posle toga su u XML formatu i koriste .evtx ekstenziju.
Lokacija datoteka događaja može se pronaći u SYSTEM registru u HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}
Mogu se vizualizovati iz Windows Event Viewer-a (eventvwr.msc
) ili sa drugim alatima kao što su Event Log Explorer ili Evtx Explorer/EvtxECmd.
Događaji pristupa se beleže u datoteci sigurnosne konfiguracije koja se nalazi na C:\Windows\System32\winevt\Security.evtx
. Veličina ove datoteke je prilagodljiva, a kada se dostigne njen kapacitet, stariji događaji se prepisuju. Beleženi događaji uključuju prijave i odjave korisnika, korisničke akcije i promene u sigurnosnim postavkama, kao i pristup datotekama, folderima i deljenim resursima.
EventID 4624: Ukazuje na to da je korisnik uspešno autentifikovan.
EventID 4625: Signalizira neuspeh autentifikacije.
EventIDs 4634/4647: Predstavljaju događaje odjave korisnika.
EventID 4672: Označava prijavu sa administratorskim privilegijama.
Interaktivno (2): Direktna prijava korisnika.
Mrežno (3): Pristup deljenim folderima.
Serijski (4): Izvršavanje serijskih procesa.
Servis (5): Pokretanje servisa.
Proxy (6): Proxy autentifikacija.
Otključavanje (7): Ekran otključan lozinkom.
Mrežni čisti tekst (8): Prenos lozinke u čistom tekstu, često iz IIS-a.
Nove kredencijale (9): Korišćenje različitih kredencijala za pristup.
Daljinsko interaktivno (10): Prijava putem daljinske radne površine ili terminalskih usluga.
Keširano interaktivno (11): Prijava sa keširanim kredencijalima bez kontakta sa kontrolerom domena.
Keširano daljinsko interaktivno (12): Daljinska prijava sa keširanim kredencijalima.
Keširano otključavanje (13): Otključavanje sa keširanim kredencijalima.
0xC0000064: Korisničko ime ne postoji - Može ukazivati na napad na enumeraciju korisničkog imena.
0xC000006A: Tačno korisničko ime, ali pogrešna lozinka - Mogući pokušaj pogađanja lozinke ili brute-force napad.
0xC0000234: Korisnički nalog je zaključan - Može uslediti nakon brute-force napada koji rezultira višestrukim neuspelim prijavama.
0xC0000072: Nalog onemogućen - Neovlašćeni pokušaji pristupa onemogućenim nalozima.
0xC000006F: Prijava van dozvoljenog vremena - Ukazuje na pokušaje pristupa van postavljenih sati prijave, mogući znak neovlašćenog pristupa.
0xC0000070: Kršenje ograničenja radne stanice - Može biti pokušaj prijave sa neovlašćenog mesta.
0xC0000193: Istek naloga - Pokušaji pristupa sa isteklim korisničkim nalozima.
0xC0000071: Istekla lozinka - Pokušaji prijave sa zastarelim lozinkama.
0xC0000133: Problemi sa sinhronizacijom vremena - Velike vremenske razlike između klijenta i servera mogu ukazivati na sofisticiranije napade poput pass-the-ticket.
0xC0000224: Obavezna promena lozinke potrebna - Česte obavezne promene mogu sugerisati pokušaj destabilizacije sigurnosti naloga.
0xC0000225: Ukazuje na grešku sistema, a ne na sigurnosni problem.
0xC000015b: Odbijeni tip prijave - Pokušaj pristupa sa neovlašćenim tipom prijave, kao što je korisnik koji pokušava da izvrši prijavu servisa.
Promena vremena: Izmena sistemskog vremena, može zamagliti vremensku liniju događaja.
Pokretanje i gašenje sistema: EventID 6005 označava pokretanje sistema, dok EventID 6006 označava gašenje.
Brisanje logova: Brisanje sigurnosnih logova, što je često crvena zastava za prikrivanje nelegalnih aktivnosti.
20001 / 20003 / 10000: Prva konekcija USB uređaja.
10100: Ažuriranje USB drajvera.
EventID 112: Vreme umetanja USB uređaja.
Za praktične primere simulacije ovih tipova prijave i mogućnosti iskopavanja kredencijala, pogledajte detaljni vodič Altered Security.
Detalji događaja, uključujući status i podstatus kodove, pružaju dodatne uvide u uzroke događaja, posebno u Event ID 4625.
Da biste povećali šanse za oporavak obrisanih Windows događaja, preporučuje se da isključite sumnjivi računar direktnim isključivanjem. Bulk_extractor, alat za oporavak koji specificira ekstenziju .evtx
, se preporučuje za pokušaj oporavka takvih događaja.
Za sveobuhvatan vodič o korišćenju Windows Event ID-ova u identifikaciji uobičajenih sajber napada, posetite Red Team Recipe.
Identifikovani višestrukim zapisima EventID 4625, praćenim EventID 4624 ako napad uspe.
Zabeležena EventID 4616, promene sistemskog vremena mogu otežati forenzičku analizu.
Korisni sistemski EventIDs za praćenje USB uređaja uključuju 20001/20003/10000 za početnu upotrebu, 10100 za ažuriranja drajvera i EventID 112 iz DeviceSetupManager-a za vremenske oznake umetanja.
EventID 6005 označava pokretanje sistema, dok EventID 6006 označava gašenje.
Sigurnosni EventID 1102 signalizira brisanje logova, kritičan događaj za forenzičku analizu.
Snimak ekrana koji prikazuje sadržaj zadatka je dostupan:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)