Windows Artifacts
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
C:\Users\<kullanıcı_adı>\AppData\Local\Microsoft\Windows\Notifications yolunda appdb.dat (Windows yıldönümünden önce) veya wpndatabase.db (Windows Yıldönümünden sonra) veritabanını bulabilirsiniz.
Bu SQLite veritabanının içinde, ilginç veriler içerebilecek tüm bildirimlerin (XML formatında) bulunduğu Notification tablosunu bulabilirsiniz.
Zaman çizelgesi, ziyaret edilen web sayfalarının, düzenlenen belgelerin ve çalıştırılan uygulamaların kronolojik geçmişini sağlayan bir Windows özelliğidir.
Veritabanı C:\Users\<kullanıcı_adı>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db yolunda bulunur. Bu veritabanı, bir SQLite aracı veya WxTCmd aracı ile açılabilir ve bu araç 2 dosya oluşturur, bu dosyalar TimeLine Explorer aracı ile açılabilir.
İndirilen dosyalar, intranet, internet vb. üzerinden nasıl indirildiğini gösteren ADS Zone.Identifier içerebilir. Bazı yazılımlar (tarayıcılar gibi) genellikle dosyanın indirildiği URL gibi daha fazla bilgi de ekler.
Vista/Win7/Win8/Win10'da Geri Dönüşüm Kutusu, sürücünün kökünde $Recycle.bin klasöründe bulunabilir (C:\$Recycle.bin).
Bu klasörde bir dosya silindiğinde 2 özel dosya oluşturulur:
$I{id}: Dosya bilgileri (silindiği tarih)
$R{id}: Dosyanın içeriği
Bu dosyalara sahip olduğunuzda, silinen dosyaların orijinal adresini ve silindiği tarihi almak için Rifiuti aracını kullanabilirsiniz (Vista – Win10 için rifiuti-vista.exe kullanın).
Gölge Kopyası, Microsoft Windows'ta yer alan bir teknolojidir ve bilgisayar dosyalarının veya hacimlerinin yedek kopyalarını veya anlık görüntülerini, kullanıldıkları sırada bile oluşturabilir.
Bu yedekler genellikle dosya sisteminin kökünde bulunan \System Volume Information dizininde yer alır ve isimleri aşağıdaki resimde gösterilen UID'lerden oluşur:
ArsenalImageMounter ile adli görüntüyü monte ederek, ShadowCopyView aracı, bir gölge kopyasını incelemek ve hatta gölge kopyası yedeklerinden dosyaları çıkarmak için kullanılabilir.
Kayıt defteri girişi HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore, yedeklenmeyecek dosyaları ve anahtarları içerir:
Kayıt defteri HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS ayrıca Hacim Gölgesi Kopyaları hakkında yapılandırma bilgilerini içerir.
Ofis otomatik kaydedilen dosyalarını şurada bulabilirsiniz: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\
Bir shell öğesi, başka bir dosyaya nasıl erişileceği hakkında bilgi içeren bir öğedir.
Windows, kullanıcı bir dosyayı açtığında, kullandığında veya oluşturduğunda bu kısayolları otomatik olarak oluşturur:
Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
Ofis: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\
Bir klasör oluşturulduğunda, klasöre, üst klasöre ve büyük üst klasöre bir bağlantı da oluşturulur.
Bu otomatik olarak oluşturulan bağlantı dosyaları, bir dosya veya klasör olup olmadığını, o dosyanın MAC zamanlarını, dosyanın nerede saklandığına dair hacim bilgilerini ve hedef dosyanın klasörünü içeren kaynak hakkında bilgi barındırır. Bu bilgiler, dosyalar silinirse kurtarmak için faydalı olabilir.
Ayrıca, bağlantı dosyasının oluşturulma tarihi, orijinal dosyanın ilk kullanıldığı zamandır ve bağlantı dosyasının değiştirilme tarihi, kaynak dosyanın en son kullanıldığı zamandır.
Bu dosyaları incelemek için LinkParser aracını kullanabilirsiniz.
Bu araçta 2 set zaman damgası bulacaksınız:
İlk Set:
FileModifiedDate
FileAccessDate
FileCreationDate
İkinci Set:
LinkModifiedDate
LinkAccessDate
LinkCreationDate.
İlk zaman damgası seti, dosyanın kendisine ait zaman damgalarını referans alır. İkinci set, bağlantılı dosyanın zaman damgalarını referans alır.
Aynı bilgiyi Windows CLI aracı olan LECmd.exe ile de alabilirsiniz.
In this case, the information is going to be saved inside a CSV file.
Bunlar, her uygulama için belirtilen son dosyalardır. Her uygulamada erişebileceğiniz bir uygulama tarafından kullanılan son dosyaların listesidir. Otomatik olarak veya özel olarak oluşturulabilirler.
Otomatik olarak oluşturulan jumplists, C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\ dizininde saklanır. Jumplists, {id}.autmaticDestinations-ms formatına göre adlandırılır; burada başlangıç ID'si uygulamanın ID'sidir.
Özel jumplists, C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\ dizininde saklanır ve genellikle dosya ile ilgili önemli bir şey olduğunda uygulama tarafından oluşturulurlar (belki favori olarak işaretlenmiştir).
Her jumplist'in oluşturulma zamanı, dosyanın ilk kez erişildiği zamanı ve değiştirilme zamanı son erişim zamanını gösterir.
Jumplists'i JumplistExplorer kullanarak inceleyebilirsiniz.
(JumplistExplorer tarafından sağlanan zaman damgalarının jumplist dosyasının kendisiyle ilgili olduğunu unutmayın)
Shellbags nedir öğrenmek için bu bağlantıyı takip edin.
Bir USB cihazının kullanıldığını belirlemek mümkündür, çünkü:
Windows Son Klasörü
Microsoft Office Son Klasörü
Jumplists
Bazı LNK dosyalarının orijinal yolu göstermek yerine WPDNSE klasörüne işaret ettiğini unutmayın:
WPDNSE klasöründeki dosyalar, orijinal dosyaların bir kopyasıdır, bu nedenle PC'nin yeniden başlatılmasında hayatta kalmazlar ve GUID bir shellbag'den alınır.
USB bağlantısının ne zaman yapıldığına dair zaman damgalarını almak için C:\Windows\inf\setupapi.dev.log dosyasını kontrol edin ( Section start için arama yapın).
USBDetective bir görüntüye bağlı USB cihazları hakkında bilgi almak için kullanılabilir.
'Tak ve Çalıştır Temizleme' olarak bilinen planlı görev, esasen eski sürücü sürümlerinin kaldırılması için tasarlanmıştır. En son sürücü paket sürümünü koruma amacıyla belirtilmiş olmasına rağmen, çevrimiçi kaynaklar bunun 30 gündür etkin olmayan sürücüleri de hedef aldığını önermektedir. Sonuç olarak, son 30 günde bağlanmamış çıkarılabilir cihazların sürücüleri silinme riski altındadır.
Görev aşağıdaki yolda bulunmaktadır: C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup.
Görevin Ana Bileşenleri ve Ayarları:
pnpclean.dll: Bu DLL, gerçek temizleme işlemini gerçekleştirir.
UseUnifiedSchedulingEngine: TRUE olarak ayarlanmıştır, genel görev zamanlama motorunun kullanıldığını gösterir.
MaintenanceSettings:
Period ('P1M'): Görev Zamanlayıcısına, temizleme görevini her ay düzenli Otomatik bakım sırasında başlatmasını yönlendirir.
Deadline ('P2M'): Görev Zamanlayıcısına, görev iki ardışık ay boyunca başarısız olursa, acil Otomatik bakım sırasında görevi yürütmesini talimat verir.
Bu yapılandırma, sürücülerin düzenli bakımını ve temizliğini sağlar ve ardışık hatalar durumunda görevi yeniden denemek için önlemler içerir.
Daha fazla bilgi için kontrol edin: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html
E-postalar 2 ilginç bölüm içerir: Başlıklar ve e-postanın içeriği. Başlıklarda aşağıdaki bilgileri bulabilirsiniz:
Kim e-postaları gönderdi (e-posta adresi, IP, e-postayı yönlendiren mail sunucuları)
Ne zaman e-posta gönderildi
Ayrıca, References ve In-Reply-To başlıkları içinde mesajların ID'sini bulabilirsiniz:
Bu uygulama e-postaları HTML veya metin olarak kaydeder. E-postaları \Users\<username>\AppData\Local\Comms\Unistore\data\3\ içindeki alt klasörlerde bulabilirsiniz. E-postalar .dat uzantısıyla kaydedilir.
E-postaların meta verileri ve kişiler EDB veritabanında bulunabilir: \Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol
Uzantıyı .vol'dan .edb'ye değiştirin ve ESEDatabaseView aracını kullanarak açabilirsiniz. Message tablosunda e-postaları görebilirsiniz.
Exchange sunucuları veya Outlook istemcileri kullanıldığında bazı MAPI başlıkları olacaktır:
Mapi-Client-Submit-Time: E-postanın gönderildiği zaman sistemin zamanı
Mapi-Conversation-Index: İletişim dizisinin çocuk mesajlarının sayısı ve dizinin her mesajının zaman damgası
Mapi-Entry-ID: Mesaj tanımlayıcısı.
Mappi-Message-Flags ve Pr_last_Verb-Executed: MAPI istemcisi hakkında bilgi (mesaj okundu mu? okunmadı mı? yanıtlandı mı? yönlendirildi mi? ofis dışında mı?)
Microsoft Outlook istemcisinde, gönderilen/alınan tüm mesajlar, kişi verileri ve takvim verileri bir PST dosyasında saklanır:
%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook (WinXP)
%USERPROFILE%\AppData\Local\Microsoft\Outlook
Kayıt yolu HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook, kullanılan dosyayı gösterir.
PST dosyasını Kernel PST Viewer aracıyla açabilirsiniz.
Bir OST dosyası, Microsoft Outlook'un IMAP veya bir Exchange sunucusuyla yapılandırıldığında oluşturulur ve PST dosyasına benzer bilgileri saklar. Bu dosya, sunucu ile senkronize edilir, son 12 ay için veri tutar ve maksimum 50GB boyutundadır ve PST dosyasıyla aynı dizinde bulunur. Bir OST dosyasını görüntülemek için Kernel OST viewer kullanılabilir.
Kaybolan ekler şunlardan kurtarılabilir:
IE10 için: %APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook
IE11 ve üzeri için: %APPDATA%\Local\Microsoft\InetCache\Content.Outlook
Thunderbird, verileri saklamak için MBOX dosyaları kullanır ve bu dosyalar \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles dizininde bulunur.
Windows XP ve 8-8.1: Küçültme içeren bir klasöre erişmek, silinmiş olsa bile görüntü önizlemelerini saklayan bir thumbs.db dosyası oluşturur.
Windows 7/10: thumbs.db, UNC yolu üzerinden erişildiğinde oluşturulur.
Windows Vista ve daha yeni: Küçültme önizlemeleri, %userprofile%\AppData\Local\Microsoft\Windows\Explorer dizininde thumbcache_xxx.db olarak adlandırılan dosyalarda merkezi olarak saklanır. Bu dosyaları görüntülemek için Thumbsviewer ve ThumbCache Viewer araçları kullanılabilir.
Windows Kayıt Defteri, kapsamlı sistem ve kullanıcı etkinlik verilerini saklar ve aşağıdaki dosyalarda bulunur:
Çeşitli HKEY_LOCAL_MACHINE alt anahtarları için %windir%\System32\Config.
HKEY_CURRENT_USER için %UserProfile%{User}\NTUSER.DAT.
Windows Vista ve sonraki sürümler, HKEY_LOCAL_MACHINE kayıt dosyalarını %Windir%\System32\Config\RegBack\ dizininde yedekler.
Ayrıca, program yürütme bilgileri, Windows Vista ve Windows 2008 Server'dan itibaren %UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT içinde saklanır.
Kayıt dosyalarını analiz etmek için bazı araçlar faydalıdır:
Kayıt Defteri Düzenleyici: Windows'ta yüklüdür. Mevcut oturumun Windows kayıt defterinde gezinmek için bir GUI'dir.
Registry Explorer: Kayıt dosyasını yüklemenizi ve bunlar arasında gezinmenizi sağlayan bir GUI içerir. Ayrıca ilginç bilgiler içeren anahtarları vurgulayan Yer İmleri içerir.
RegRipper: Yine, yüklenen kayıt defterinde gezinmenizi sağlayan bir GUI içerir ve ayrıca yüklenen kayıt defterinde ilginç bilgileri vurgulayan eklentiler içerir.
Windows Kayıt Kurtarma: Yüklenen kayıt defterinden önemli bilgileri çıkarmak için başka bir GUI uygulamasıdır.
Bir anahtar silindiğinde, böyle işaretlenir, ancak kapladığı alan gerekli olana kadar kaldırılmaz. Bu nedenle, Registry Explorer gibi araçlar kullanarak bu silinmiş anahtarları kurtarmak mümkündür.
Her Anahtar-Değer, en son ne zaman değiştirildiğini gösteren bir zaman damgası içerir.
SAM dosyası/hive, sistemin kullanıcılar, gruplar ve kullanıcı parolası hash'lerini içerir.
SAM\Domains\Account\Users içinde kullanıcı adını, RID'yi, son giriş zamanını, son başarısız oturumu, giriş sayacını, parola politikasını ve hesabın ne zaman oluşturulduğunu elde edebilirsiniz. Hash'leri almak için ayrıca SYSTEM dosyasını/hive'yi de gerekir.
Bu yazıda şüpheli davranışları tespit etmek için yaygın Windows süreçleri hakkında bilgi edinebilirsiniz.
Kayıt defteri NTUSER.DAT içinde Software\Microsoft\Current Version\Search\RecentApps yolunda, çalıştırılan uygulama, son çalıştırma zamanı ve kaç kez başlatıldığına dair bilgiler içeren alt anahtarlar bulabilirsiniz.
SYSTEM dosyasını bir kayıt defteri düzenleyici ile açabilir ve SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} yolunda her kullanıcı tarafından çalıştırılan uygulamalar hakkında bilgi bulabilirsiniz (yoldaki {SID}'yi not edin) ve ne zaman çalıştırıldıklarını (zaman, kayıt defterinin Veri değerinin içinde) görebilirsiniz.
Önceden alma, bir bilgisayarın kullanıcının yakın gelecekte erişebileceği içeriği görüntülemek için gerekli kaynakları sessizce almasına olanak tanıyan bir tekniktir, böylece kaynaklara daha hızlı erişilebilir.
Windows önceden alma, çalıştırılan programların önbelleklerini oluşturarak daha hızlı yüklenmelerini sağlar. Bu önbellekler, C:\Windows\Prefetch yolunda .pf dosyaları olarak oluşturulur. XP/VISTA/WIN7'de 128 dosya ve Win8/Win10'da 1024 dosya sınırı vardır.
Dosya adı {program_name}-{hash}.pf şeklinde oluşturulur (hash, yürütülebilir dosyanın yolu ve argümanlarına dayanır). W10'da bu dosyalar sıkıştırılmıştır. Dosyanın varlığı, programın bir noktada çalıştırıldığını gösterir.
C:\Windows\Prefetch\Layout.ini dosyası, önceden alınan dosyaların klasörlerinin adlarını içerir. Bu dosya, çalıştırma sayısı, çalıştırma tarihleri ve program tarafından açılan dosyalar hakkında bilgi içerir.
Bu dosyaları incelemek için PEcmd.exe aracını kullanabilirsiniz:
Superprefetch, önceden yükleme ile aynı amaca sahiptir, programları daha hızlı yüklemek için neyin yükleneceğini tahmin eder. Ancak, önceden yükleme hizmetinin yerini almaz.
Bu hizmet, C:\Windows\Prefetch\Ag*.db konumunda veritabanı dosyaları oluşturur.
Bu veritabanlarında programın adı, çalıştırma sayısı, açılan dosyalar, erişilen hacim, tam yol, zaman dilimleri ve zaman damgaları bulabilirsiniz.
Bu bilgilere CrowdResponse aracıyla erişebilirsiniz.
Sistem Kaynak Kullanım İzleyici (SRUM), bir süreç tarafından tüketilen kaynakları izler. W8'de ortaya çıkmıştır ve verileri C:\Windows\System32\sru\SRUDB.dat konumunda bir ESE veritabanında saklar.
Aşağıdaki bilgileri sağlar:
Uygulama Kimliği ve Yol
Süreci çalıştıran kullanıcı
Gönderilen Bayt
Alınan Bayt
Ağ Arayüzü
Bağlantı süresi
Süreç süresi
Bu bilgiler her 60 dakikada bir güncellenir.
Bu dosyadan tarihi srum_dump aracıyla elde edebilirsiniz.
AppCompatCache, ayrıca ShimCache olarak da bilinir, Microsoft tarafından uygulama uyumluluğu sorunlarını ele almak için geliştirilen Uygulama Uyumluluk Veritabanının bir parçasını oluşturur. Bu sistem bileşeni, aşağıdaki dosya meta verilerinin çeşitli parçalarını kaydeder:
Dosyanın tam yolu
Dosyanın boyutu
$Standard_Information (SI) altında Son Değiştirilme zamanı
ShimCache'in Son Güncellenme zamanı
İşlem Çalıştırma Bayrağı
Bu tür veriler, işletim sisteminin sürümüne bağlı olarak belirli konumlarda kayıt defterinde saklanır:
XP için, veriler SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache altında 96 giriş kapasitesi ile saklanır.
Server 2003 için, ayrıca Windows sürümleri 2008, 2012, 2016, 7, 8 ve 10 için, depolama yolu SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache olup, sırasıyla 512 ve 1024 giriş kapasitesine sahiptir.
Saklanan bilgileri ayrıştırmak için, AppCompatCacheParser aracı kullanılması önerilir.
Amcache.hve dosyası, bir sistemde yürütülen uygulamalar hakkında ayrıntıları kaydeden temel bir kayıt defteri hivesidir. Genellikle C:\Windows\AppCompat\Programas\Amcache.hve konumunda bulunur.
Bu dosya, yürütülen süreçlerin kayıtlarını, yürütülebilir dosyaların yollarını ve SHA1 hash'lerini saklamasıyla dikkat çeker. Bu bilgi, bir sistemdeki uygulamaların etkinliğini izlemek için çok değerlidir.
Amcache.hve dosyasından veri çıkarmak ve analiz etmek için, AmcacheParser aracı kullanılabilir. Aşağıdaki komut, AmcacheParser'ı Amcache.hve dosyasının içeriğini ayrıştırmak ve sonuçları CSV formatında çıkarmak için nasıl kullanacağınıza dair bir örnektir:
Among the generated CSV files, the Amcache_Unassociated file entries is particularly noteworthy due to the rich information it provides about unassociated file entries.
Oluşturulan CSV dosyaları arasında, Amcache_Unassociated file entries özellikle dikkate değerdir çünkü ilişkilendirilmemiş dosya girişleri hakkında zengin bilgiler sunar.
The most interesting CVS file generated is the Amcache_Unassociated file entries.
Oluşturulan en ilginç CVS dosyası Amcache_Unassociated file entriesdir.
This artifact can only be found in W7 in C:\Windows\AppCompat\Programs\RecentFileCache.bcf and it contains information about the recent execution of some binaries.
Bu artefakt yalnızca W7'de C:\Windows\AppCompat\Programs\RecentFileCache.bcf içinde bulunabilir ve bazı ikili dosyaların son çalıştırılması hakkında bilgi içerir.
You can use the tool RecentFileCacheParse to parse the file.
Dosyayı ayrıştırmak için RecentFileCacheParse aracını kullanabilirsiniz.
You can extract them from C:\Windows\Tasks or C:\Windows\System32\Tasks and read them as XML.
Bunları C:\Windows\Tasks veya C:\Windows\System32\Tasks'dan çıkarabilir ve XML olarak okuyabilirsiniz.
You can find them in the registry under SYSTEM\ControlSet001\Services. You can see what is going to be executed and when.
Bunları SYSTEM\ControlSet001\Services altında kayıt defterinde bulabilirsiniz. Ne zaman ve neyin çalıştırılacağını görebilirsiniz.
The installed applications can be found in \ProgramData\Microsoft\Windows\AppRepository\
This repository has a log with each application installed in the system inside the database StateRepository-Machine.srd.
Yüklenen uygulamalar \ProgramData\Microsoft\Windows\AppRepository\ içinde bulunabilir. Bu depo, sistemdeki her yüklü uygulama ile ilgili bir log içerir ve bu log, StateRepository-Machine.srd veritabanındadır.
Inside the Application table of this database, it's possible to find the columns: "Application ID", "PackageNumber", and "Display Name". These columns have information about pre-installed and installed applications and it can be found if some applications were uninstalled because the IDs of installed applications should be sequential.
Bu veritabanının Uygulama tablosunun içinde "Application ID", "PackageNumber" ve "Display Name" sütunlarını bulmak mümkündür. Bu sütunlar, önceden yüklenmiş ve yüklenmiş uygulamalar hakkında bilgi içerir ve bazı uygulamaların kaldırılıp kaldırılmadığı bulunabilir çünkü yüklü uygulamaların kimlikleri sıralı olmalıdır.
It's also possible to find installed application inside the registry path: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\
And uninstalled applications in: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\
Ayrıca, kayıt defteri yolunda yüklü uygulamaları bulmak mümkündür: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\
Ve kaldırılmış uygulamaları: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\ içinde bulabilirsiniz.
Information that appears inside Windows events are:
Windows olayları içinde görünen bilgiler şunlardır:
What happened
Timestamp (UTC + 0)
Users involved
Hosts involved (hostname, IP)
Assets accessed (files, folder, printer, services)
Neler olduğu Zaman damgası (UTC + 0) İlgili kullanıcılar İlgili ana bilgisayarlar (ana bilgisayar adı, IP) Erişilen varlıklar (dosyalar, klasör, yazıcı, hizmetler)
The logs are located in C:\Windows\System32\config before Windows Vista and in C:\Windows\System32\winevt\Logs after Windows Vista. Before Windows Vista, the event logs were in binary format and after it, they are in XML format and use the .evtx extension.
Loglar, Windows Vista'dan önce C:\Windows\System32\config içinde ve Windows Vista'dan sonra C:\Windows\System32\winevt\Logs içinde bulunmaktadır. Windows Vista'dan önce, olay günlükleri ikili formatta ve sonrasında XML formatında ve .evtx uzantısını kullanmaktadır.
The location of the event files can be found in the SYSTEM registry in HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}
Olay dosyalarının yeri, HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security} kayıt defterinde bulunabilir.
They can be visualized from the Windows Event Viewer (eventvwr.msc) or with other tools like Event Log Explorer or Evtx Explorer/EvtxECmd.
Windows Olay Görüntüleyicisi (eventvwr.msc) veya Event Log Explorer veya Evtx Explorer/EvtxECmd** gibi diğer araçlarla görselleştirilebilirler.
Access events are recorded in the security configuration file located at C:\Windows\System32\winevt\Security.evtx. This file's size is adjustable, and when its capacity is reached, older events are overwritten. Recorded events include user logins and logoffs, user actions, and changes to security settings, as well as file, folder, and shared asset access.
Erişim olayları, C:\Windows\System32\winevt\Security.evtx konumundaki güvenlik yapılandırma dosyasına kaydedilir. Bu dosyanın boyutu ayarlanabilir ve kapasitesi dolduğunda, daha eski olaylar üzerine yazılır. Kaydedilen olaylar, kullanıcı oturum açma ve kapama, kullanıcı eylemleri ve güvenlik ayarlarında yapılan değişiklikler ile dosya, klasör ve paylaşılan varlık erişimini içerir.
Kullanıcı Kimlik Doğrulaması için Ana Olay Kimlikleri:
EventID 4624: Indicates a user successfully authenticated.
EventID 4625: Signals an authentication failure.
EventIDs 4634/4647: Represent user logoff events.
EventID 4672: Denotes login with administrative privileges.
EventID 4624: Bir kullanıcının başarılı bir şekilde kimlik doğruladığını gösterir.
EventID 4625: Bir kimlik doğrulama hatasını belirtir.
EventIDs 4634/4647: Kullanıcı oturum kapama olaylarını temsil eder.
EventID 4672: Yönetici ayrıcalıklarıyla oturum açıldığını belirtir.
EventID 4634/4647 içindeki alt türler:
Interactive (2): Direct user login.
Network (3): Access to shared folders.
Batch (4): Execution of batch processes.
Service (5): Service launches.
Proxy (6): Proxy authentication.
Unlock (7): Screen unlocked with a password.
Network Cleartext (8): Clear text password transmission, often from IIS.
New Credentials (9): Usage of different credentials for access.
Remote Interactive (10): Remote desktop or terminal services login.
Cache Interactive (11): Login with cached credentials without domain controller contact.
Cache Remote Interactive (12): Remote login with cached credentials.
Cached Unlock (13): Unlocking with cached credentials.
Etkileşimli (2): Doğrudan kullanıcı oturumu.
Ağ (3): Paylaşılan klasörlere erişim.
Toplu (4): Toplu işlemlerin yürütülmesi.
Hizmet (5): Hizmet başlatmaları.
Proxy (6): Proxy kimlik doğrulaması.
Kilidi Açma (7): Şifre ile ekranın kilidinin açılması.
Ağ Düz Metin (8): Düz metin şifre iletimi, genellikle IIS'den.
Yeni Kimlik Bilgileri (9): Erişim için farklı kimlik bilgileri kullanımı.
Uzaktan Etkileşimli (10): Uzaktan masaüstü veya terminal hizmetleri oturumu.
Önbellek Etkileşimli (11): Alan denetleyicisi ile iletişim olmadan önbelleklenmiş kimlik bilgileri ile oturum açma.
Önbellek Uzaktan Etkileşimli (12): Önbelleklenmiş kimlik bilgileri ile uzaktan oturum açma.
Önbellekli Kilidi Açma (13): Önbelleklenmiş kimlik bilgileri ile kilidin açılması.
EventID 4625 için Durum ve Alt Durum Kodları:
0xC0000064: User name does not exist - Could indicate a username enumeration attack.
0xC000006A: Correct user name but wrong password - Possible password guessing or brute-force attempt.
0xC0000234: User account locked out - May follow a brute-force attack resulting in multiple failed logins.
0xC0000072: Account disabled - Unauthorized attempts to access disabled accounts.
0xC000006F: Logon outside allowed time - Indicates attempts to access outside of set login hours, a possible sign of unauthorized access.
0xC0000070: Violation of workstation restrictions - Could be an attempt to login from an unauthorized location.
0xC0000193: Account expiration - Access attempts with expired user accounts.
0xC0000071: Expired password - Login attempts with outdated passwords.
0xC0000133: Time sync issues - Large time discrepancies between client and server may be indicative of more sophisticated attacks like pass-the-ticket.
0xC0000224: Mandatory password change required - Frequent mandatory changes might suggest an attempt to destabilize account security.
0xC0000225: Indicates a system bug rather than a security issue.
0xC000015b: Denied logon type - Access attempt with unauthorized logon type, such as a user trying to execute a service logon.
0xC0000064: Kullanıcı adı mevcut değil - Bir kullanıcı adı tahmin saldırısını gösterebilir.
0xC000006A: Doğru kullanıcı adı ama yanlış şifre - Olası şifre tahmini veya kaba kuvvet denemesi.
0xC0000234: Kullanıcı hesabı kilitlendi - Birden fazla başarısız oturum açma ile sonuçlanan bir kaba kuvvet saldırısını takip edebilir.
0xC0000072: Hesap devre dışı - Devre dışı bırakılmış hesaplara yetkisiz erişim girişimleri.
0xC000006F: İzin verilen zaman dışında oturum açma - Belirlenen oturum açma saatleri dışında erişim girişimlerini gösterir, yetkisiz erişim belirtisi olabilir.
0xC0000070: İş istasyonu kısıtlamalarının ihlali - Yetkisiz bir yerden oturum açma girişimi olabilir.
0xC0000193: Hesap süresi dolmuş - Süresi dolmuş kullanıcı hesapları ile erişim girişimleri.
0xC0000071: Süresi dolmuş şifre - Eski şifreler ile oturum açma girişimleri.
0xC0000133: Zaman senkronizasyon sorunları - İstemci ve sunucu arasında büyük zaman farklılıkları, pass-the-ticket gibi daha karmaşık saldırıların göstergesi olabilir.
0xC0000224: Zorunlu şifre değişikliği gereklidir - Sık zorunlu değişiklikler, hesap güvenliğini bozma girişimini gösterebilir.
0xC0000225: Bir sistem hatasını gösterir, güvenlik sorunu değil.
0xC000015b: Reddedilen oturum açma türü - Yetkisiz oturum açma türü ile erişim girişimi, örneğin bir kullanıcının bir hizmet oturumu başlatmaya çalışması.
Time Change: Modification of the system time, could obscure the timeline of events.
Zaman Değişikliği: Sistem zamanının değiştirilmesi, olayların zaman çizelgesini belirsizleştirebilir.
System Startup and Shutdown: EventID 6005 indicates the system starting up, while EventID 6006 marks it shutting down.
Sistem Başlangıcı ve Kapatılması: EventID 6005, sistemin başlatıldığını gösterirken, EventID 6006 kapanışını işaret eder.
Log Deletion: Security logs being cleared, which is often a red flag for covering up illicit activities.
Günlük Silme: Güvenlik günlüklerinin temizlenmesi, genellikle yasadışı faaliyetleri örtbas etme için bir kırmızı bayraktır.
20001 / 20003 / 10000: USB device first connection.
10100: USB driver update.
EventID 112: Time of USB device insertion.
USB Cihaz Takibi için Olay Kimlikleri:
20001 / 20003 / 10000: USB cihazının ilk bağlantısı.
10100: USB sürücü güncellemesi.
EventID 112: USB cihazının takılma zamanı.
For practical examples on simulating these login types and credential dumping opportunities, refer to Altered Security's detailed guide.
Bu oturum açma türlerini simüle etme ve kimlik bilgisi dökme fırsatları hakkında pratik örnekler için Altered Security'nin detaylı kılavuzuna başvurun.
Event details, including status and sub-status codes, provide further insights into event causes, particularly notable in Event ID 4625.
Olay detayları, durum ve alt durum kodları dahil, olay nedenleri hakkında daha fazla bilgi sağlar, özellikle Event ID 4625'te dikkate değerdir.
To enhance the chances of recovering deleted Windows Events, it's advisable to power down the suspect computer by directly unplugging it. Bulk_extractor, a recovery tool specifying the .evtx extension, is recommended for attempting to recover such events.
Silinmiş Windows Olaylarını kurtarma şansını artırmak için, şüpheli bilgisayarı doğrudan fişini çekerek kapatmak önerilir. Bulk_extractor, .evtx uzantısını belirten bir kurtarma aracı, bu tür olayları kurtarmak için önerilir.
For a comprehensive guide on utilizing Windows Event IDs in identifying common cyber attacks, visit Red Team Recipe.
Yaygın siber saldırıları tanımlamak için Windows Olay Kimliklerini kullanma konusunda kapsamlı bir kılavuz için Red Team Recipe adresini ziyaret edin.
Identifiable by multiple EventID 4625 records, followed by an EventID 4624 if the attack succeeds.
Birden fazla EventID 4625 kaydı ile tanımlanabilir, saldırı başarılı olursa ardından bir EventID 4624 gelir.
Recorded by EventID 4616, changes to system time can complicate forensic analysis.
EventID 4616 ile kaydedilen sistem zamanındaki değişiklikler, adli analizleri karmaşıklaştırabilir.
Useful System EventIDs for USB device tracking include 20001/20003/10000 for initial use, 10100 for driver updates, and EventID 112 from DeviceSetupManager for insertion timestamps.
USB cihaz takibi için yararlı Sistem Olay Kimlikleri, başlangıç kullanımı için 20001/20003/10000, sürücü güncellemeleri için 10100 ve takılma zaman damgaları için DeviceSetupManager'dan EventID 112'dir.
EventID 6005 indicates system startup, while EventID 6006 marks shutdown.
EventID 6005, sistemin başlatıldığını gösterirken, EventID 6006 kapanışını işaret eder.
Security EventID 1102 signals the deletion of logs, a critical event for forensic analysis.
Güvenlik EventID 1102, günlüklerin silinmesini işaret eder, bu da adli analiz için kritik bir olaydır.
Görevin içeriğini gösteren bir ekran görüntüsü sağlanmıştır:
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
