Αρχεία Windows

Γενικά Αρχεία Windows

Ειδοποιήσεις Windows 10

Στη διαδρομή \Users\<όνομα_χρήστη>\AppData\Local\Microsoft\Windows\Notifications μπορείτε να βρείτε τη βάση δεδομένων appdb.dat (πριν την επέτειο των Windows) ή wpndatabase.db (μετά την επέτειο των Windows).

Μέσα σε αυτήν τη βάση δεδομένων SQLite, μπορείτε να βρείτε τον πίνακα Notification με όλες τις ειδοποιήσεις (σε μορφή XML) που μπορεί να περιέχουν ενδιαφέρουσες πληροφορίες.

Χρονολόγιο

Το Χρονολόγιο είναι μια χαρακτηριστική των Windows που παρέχει χρονολογική ιστορία των επισκεφθέντων ιστοσελίδων, των επεξεργασμένων εγγράφων και των εκτελεσμένων εφαρμογών.

Η βάση δεδομένων βρίσκεται στη διαδρομή \Users\<όνομα_χρήστη>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db. Αυτή η βάση δεδομένων μπορεί να ανοιχτεί με ένα εργαλείο SQLite ή με το εργαλείο WxTCmd που δημιουργεί 2 αρχεία που μπορούν να ανοίξουν με το εργαλείο TimeLine Explorer.

ADS (Εναλλακτικά Ρεύματα Δεδομένων)

Τα κατεβασμένα αρχεία μπορεί να περιέχουν την Ζώνη Αναγνώρισης ADS που υποδεικνύει πώς έγινε το κατέβασμα από το εταιρικό δίκτυο, το διαδίκτυο κ.λπ. Ορισμένο λογισμικό (όπως οι περιηγητές) συνήθως προσθέτουν ακόμη περισσότερες πληροφορίες όπως η URL από όπου κατέβηκε το αρχείο.

Αντίγραφα Ασφαλείας Αρχείων

Κάδος Ανακύκλωσης

Στα Vista/Win7/Win8/Win10 ο Κάδος Ανακύκλωσης βρίσκεται στον φάκελο $Recycle.bin στη ρίζα του δίσκου (C:\$Recycle.bin). Όταν ένα αρχείο διαγράφεται σε αυτόν τον φάκελο, δημιουργούνται 2 συγκεκριμένα αρχεία:

• $I{id}: Πληροφορίες αρχείου (ημερομηνία διαγραφής)

• $R{id}: Περιεχόμενο του αρχείου

Έχοντας αυτά τα αρχεία μπορείτε να χρησιμοποιήσετε το εργαλείο Rifiuti για να πάρετε την αρχική διεύθυνση των διαγραμμένων αρχείων και την ημερομηνία διαγραφής τους (χρησιμοποιήστε το rifiuti-vista.exe για Vista – Win10).

.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle

Αντίγραφα Σκιών Όγκου

Το Shadow Copy είναι μια τεχνολογία που περιλαμβάνεται στα Microsoft Windows και μπορεί να δημιουργήσει αντίγραφα ασφαλείας ή στιγμιότυπα αρχείων ή όγκων υπολογιστή, ακόμα και όταν αυτά χρησιμοποιούνται.

Αυτά τα αντίγραφα ασφαλείας συνήθως βρίσκονται στον φάκελο \System Volume Information στη ρίζα του συστήματος αρχείων και το όνομά τους αποτελείται από τα UIDs που φαίνονται στην παρακάτω εικόνα:

Με την επισύναψη της εικόνας ανάκτησης με το ArsenalImageMounter, το εργαλείο ShadowCopyView μπορεί να χρησιμοποιηθεί για να επιθεωρήσει ένα αντίγραφο σκιάς και ακόμα και να εξάγει τα αρχεία από τα αντίγραφα ασφαλείας του αντιγράφου σκιάς.

Η καταχώρηση του μητρώου HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore περιέχει τα αρχεία και τα κλειδιά που δεν πρέπει να δημιουργηθούν αντίγραφα ασφαλείας:

Το μητρώο HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS περιέχει επίσης πληροφορίες διαμόρφωσης σχετικά με τα Volume Shadow Copies.

Αρχεία Αυτόματης Αποθήκευσης Office

Μπορείτε να βρείτε τα αρχεία αυτόματης αποθήκευσης του Office στο: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\

Στοιχεία Shell

Ένα στοιχείο του κελύφους είναι ένα στοιχείο που περιέχει πληροφορίες για το πώς να αποκτήσετε πρόσβαση σε ένα άλλο αρχείο.

Πρόσφατα Έγγραφα (LNK)

Τα Windows δημιουργούν αυτόματα αυτές τις συντομεύσεις όταν ο χρήστης ανοίγει, χρησιμοποιεί ή δημιουργεί ένα αρχείο στα παρακάτω μέρη:

• Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\

• Office: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\

Όταν δημιουργείται ένας φάκελος, δημιουργείται επίσης μια σύνδεση προς τον φάκελο, προς τον γονικό φάκελο και τον προγονικό φάκελο.

Αυτά τα αυτόματα δημιουργημένα αρχεία συνδέσμων περιέχουν πληροφορίες για την προέλευση όπως αν είναι αρχείο ή φάκελος, MAC χρόνοι αυτού του αρχείου, πληροφορίες όγκου για το πού αποθηκεύεται το αρχείο και φάκελος του αρχείου προορισμού. Αυτές οι πληροφορίες μπορούν να είναι χρήσιμες για την ανάκτηση αυτών των αρχείων σε περίπτωση που αφαιρεθούν.

Επίσης, η ημερομηνία δημιουργίας του αρχείου συνδέσμου είναι η πρώτη φορά που το αρχικό αρχείο χρησιμοποιήθηκε και η ημερομηνία τροποποίησης του αρχείου συνδέσμου είναι η τελευταία φορά που χρησιμοποιήθηκε το αρχικό αρχείο.

Για να επιθεωρήσετε αυτά τα αρχεία μπορείτε να χρησιμοποιήσετε το LinkParser.

Σε αυτά τα εργαλεία θα βρείτε 2 σύνολα χρονοσημάτων:

• Πρώτο Σύνολο:

1. FileModifiedDate

2. FileAccessDate

3. FileCreationDate

• Δεύτερο Σύνολο:

1. LinkModifiedDate

2. LinkAccessDate

3. LinkCreationDate.

Το πρώτο σύνολο χρονοσημάτων αναφέρεται στα χρονοσήματα του ίδιου του αρχείου. Το δεύτερο σύνολο αναφέρεται στα χρονοσήματα του συνδεδεμένου αρχείου.

Μπορείτε να λάβετε τις ίδιες πληροφορίες εκτελώντας το εργαλείο γραμμής εντολών των Windows: LECmd.exe

LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs

Σε αυτήν την περίπτωση, οι πληροφορίες θα αποθηκευτούν σε ένα αρχείο CSV.

Jumplists

Αυτές είναι οι πρόσφατες αρχεία που υποδεικνύονται ανά εφαρμογή. Είναι η λίστα των πρόσφατων αρχείων που χρησιμοποιήθηκαν από μια εφαρμογή στην οποία μπορείτε να έχετε πρόσβαση σε κάθε εφαρμογή. Μπορούν να δημιουργηθούν αυτόματα ή να είναι προσαρμοσμένα.

Οι αυτόματα δημιουργημένες jumplists αποθηκεύονται στο C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\. Οι jumplists ονομάζονται ακολουθώντας τη μορφή {id}.autmaticDestinations-ms όπου το αρχικό ID είναι το ID της εφαρμογής.

Οι προσαρμοσμένες jumplists αποθηκεύονται στο C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\ και δημιουργούνται από την εφαρμογή συνήθως επειδή έχει συμβεί κάτι σημαντικό με το αρχείο (ίσως έχει επισημανθεί ως αγαπημένο)

Ο χρόνος δημιουργίας οποιασδήποτε jumplist υποδεικνύει το πρώτο χρόνο πρόσβασης στο αρχείο και ο χρόνος τροποποίησης την τελευταία φορά.

Μπορείτε να επιθεωρήσετε τις jumplists χρησιμοποιώντας το JumplistExplorer.

(Σημειώστε ότι οι χρονοσφραγίδες που παρέχονται από το JumplistExplorer αναφέρονται στο ίδιο το αρχείο jumplist)

Shellbags

Ακολουθήστε αυτόν τον σύνδεσμο για να μάθετε τι είναι οι shellbags.

Χρήση των USB των Windows

Είναι δυνατό να ανιχνευθεί η χρήση μιας συσκευής USB χάρη στη δημιουργία:

• Φακέλου Πρόσφατων Windows

• Φακέλου Πρόσφατων Microsoft Office

• Jumplists

Σημειώστε ότι ορισμένα αρχεία LNK αντί να δείχνουν στην αρχική διαδρομή, δείχνουν στον φάκελο WPDNSE:

Τα αρχεία στον φάκελο WPDNSE είναι αντίγραφα των αρχικών, οπότε δεν θα επιβιώσουν μετά από επανεκκίνηση του υπολογιστή και το GUID προέρχεται από ένα shellbag.

Πληροφορίες Καταχώρισης Μητρώου

Ελέγξτε αυτήν τη σελίδα για να μάθετε ποια κλειδιά του μητρώου περιέχουν ενδιαφέρουσες πληροφορίες σχετικά με συνδεδεμένες συσκευές USB.

setupapi

Ελέγξτε το αρχείο C:\Windows\inf\setupapi.dev.log για να λάβετε τις χρονοσφραγίδες σχετικά με το πότε παρήχθη η σύνδεση USB (αναζητήστε το Section start).

USB Detective

USBDetective μπορεί να χρησιμοποιηθεί για να λάβετε πληροφορίες σχετικά με τις συσκευές USB που έχουν συνδεθεί σε μια εικόνα.

Καθαρισμός Plug and Play

Η προγραμματισμένη εργασία γνωστή ως 'Καθαρισμός Plug and Play' έχει σχεδιαστεί κυρίως για την αφαίρεση παλαιών εκδόσεων οδηγών. Αντίθετα με τον καθορισμένο σκοπό της διατήρησης της τελευταίας έκδοσης του πακέτου οδηγών, διαδικτυακές πηγές υποδεικνύουν ότι στοχεύει επίσης σε οδηγούς που έχουν μείνει αδρανείς για 30 ημέρες. Ως εκ τούτου, οδηγοί για αφαιρούμενες συσκευές που δεν έχουν συνδεθεί τις τελευταίες 30 ημέρες μπορεί να διαγ

Αρχεία OST του Microsoft Outlook

Ένα αρχείο OST δημιουργείται από το Microsoft Outlook όταν ρυθμίζεται με IMAP ή έναν διακομιστή Exchange, αποθηκεύοντας παρόμοιες πληροφορίες με ένα αρχείο PST. Αυτό το αρχείο συγχρονίζεται με τον διακομιστή, διατηρώντας δεδομένα για τους τελευταίους 12 μήνες με μέγιστο μέγεθος 50GB, και βρίσκεται στον ίδιο φάκελο με το αρχείο PST. Για να δείτε ένα αρχείο OST, μπορείτε να χρησιμοποιήσετε το Kernel OST viewer.

Ανάκτηση Συνημμένων

Χαμένα συνημμένα μπορεί να ανακτηθούν από:

• Για IE10: %APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook

• Για IE11 και νεότερες εκδόσεις: %APPDATA%\Local\Microsoft\InetCache\Content.Outlook

Αρχεία MBOX του Thunderbird

Το Thunderbird χρησιμοποιεί αρχεία MBOX για την αποθήκευση δεδομένων, τα οποία βρίσκονται στη διαδρομή \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles.

Μικρογραφίες Εικόνων

• Windows XP και 8-8.1: Η πρόσβαση σε ένα φάκελο με μικρογραφίες δημιουργεί ένα αρχείο thumbs.db που αποθηκεύει προεπισκοπήσεις εικόνων, ακόμα και μετά τη διαγραφή τους.

• Windows 7/10: Το thumbs.db δημιουργείται όταν προσπελαύνεται μέσω δικτύου μέσω της διαδρομής UNC.

• Windows Vista και νεότερες εκδόσεις: Οι προεπισκοπήσεις μικρογραφιών είναι κεντρικές στο %userprofile%\AppData\Local\Microsoft\Windows\Explorer με αρχεία με το όνομα thumbcache_xxx.db. Τα εργαλεία Thumbsviewer και ThumbCache Viewer χρησιμοποιούνται για την προβολή αυτών των αρχείων.

Πληροφορίες Καταγραφής των Windows Registry

Το Windows Registry, που αποθηκεύει εκτεταμένα δεδομένα δραστηριότητας του συστήματος και των χρηστών, περιέχεται σε αρχεία στις παρακάτω τοποθεσίες:

• %windir%\System32\Config για διάφορα υποκλειδιά HKEY_LOCAL_MACHINE.

• %UserProfile%{User}\NTUSER.DAT για το HKEY_CURRENT_USER.

• Τα Windows Vista και νεότερες εκδόσεις δημιουργούν αντίγραφα ασφαλείας των αρχείων καταγραφής του HKEY_LOCAL_MACHINE στο %Windir%\System32\Config\RegBack\.

• Επιπλέον, πληροφορίες εκτέλεσης προγραμμάτων αποθηκεύονται στο %UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT από τα Windows Vista και τον διακομιστή Windows 2008 και μετά.

Εργαλεία

Ορισμένα εργαλεία είναι χρήσιμα για την ανάλυση των αρχείων καταγραφής του registry:

• Επεξεργαστής Καταγραφής: Είναι εγκατεστημένο στα Windows. Είναι μια γραφική διεπαφή χρήστη για την περιήγηση στο Windows registry της τρέχουσας συνεδρίας.

• Εξερευνητής Καταγραφής: Σας επιτρέπει να φορτώσετε το αρχείο καταγραφής και να περιηγηθείτε μέσω του με γραφική διεπαφή. Περιλαμβάνει επίσης σελιδοδείκτες που επισημαίνουν κλειδιά με ενδιαφέρουσες πληροφορίες.

• RegRipper: Και πάλι, διαθέτει μια γραφική διεπαφή που επιτρέπει την περιήγηση μέσω του φορτωμένου καταγραφής και περιλαμβάνει επεκτάσεις που επισημαίνουν ενδιαφέρουσες πληροφορίες μέσα στο φορτωμένο καταγραφή.

• Windows Registry Recovery: Ένα άλλο εφαρμογή με γραφική διεπαφή που μπορεί να εξάγει τις σημαντικές πληροφορίες από το φορτωμένο καταγραφή.

Ανάκτηση Διαγραμμένου Στοιχείου

Όταν ένα κλειδί διαγράφεται, σημειώνεται ως τέτοιο, αλλά μέχρι να χρειαστεί ο χώρος που καταλαμβάνει, δεν θα αφαιρεθεί. Επομένως, χρησιμοποιώντας εργαλεία όπως ο Εξερευνητής Καταγραφής, είναι δυνατή η ανάκτηση αυτών των διαγραμμένων κλειδιών.

Χρόνος Τελευταίας Εγγραφής

Κάθε Κλειδί-Τιμή περιέχει ένα χρονικό στιγμιότυπο που υποδεικνύει την τελευταία φορά που τροποποιήθηκε.

SAM

Το αρχείο/hive SAM περιέχει τους κατακόρυφους και τους κωδικούς πρόσβασης των χρηστών του συστήματος.

Στο `SAM\Domains\Account

.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"

Superprefetch

Το Superprefetch έχει τον ίδιο στόχο με το prefetch, να φορτώνει τα προγράμματα πιο γρήγορα προβλέποντας τι θα φορτωθεί επόμενο. Ωστόσο, δεν αντικαθιστά την υπηρεσία prefetch. Αυτή η υπηρεσία θα δημιουργήσει αρχεία βάσης δεδομένων στο C:\Windows\Prefetch\Ag*.db.

Σε αυτές τις βάσεις δεδομένων μπορείτε να βρείτε το όνομα του προγράμματος, τον αριθμό των εκτελέσεων, τα ανοιγμένα αρχεία, το επίπεδο πρόσβασης στον δίσκο, την πλήρη διαδρομή, τα χρονικά πλαίσια και τις χρονοσφραγίδες.

Μπορείτε να αποκτήσετε πρόσβαση σε αυτές τις πληροφορίες χρησιμοποιώντας το εργαλείο CrowdResponse.

SRUM

Το System Resource Usage Monitor (SRUM) παρακολουθεί τους πόρους που καταναλώνονται από ένα διεργασία. Εμφανίστηκε στο W8 και αποθηκεύει τα δεδομένα σε μια βάση δεδομένων ESE που βρίσκεται στο C:\Windows\System32\sru\SRUDB.dat.

Παρέχει τις εξής πληροφορίες:

• AppID και Διαδρομή

• Χρήστης που εκτέλεσε τη διεργασία

• Απεσταλμένα Bytes

• Ληφθέντα Bytes

• Διεπαφή Δικτύου

• Διάρκεια σύνδεσης

• Διάρκεια διεργασίας

Αυτές οι πληροφορίες ενημερώνονται κάθε 60 λεπτά.

Μπορείτε να αποκτήσετε τα δεδομένα από αυτό το αρχείο χρησιμοποιώντας το εργαλείο srum_dump.

.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum

AppCompatCache (ShimCache)

Το AppCompatCache, επίσης γνωστό ως ShimCache, αποτελεί μέρος της Βάσης Δεδομένων Συμβατότητας Εφαρμογών που αναπτύχθηκε από την Microsoft για την αντιμετώπιση θεμάτων συμβατότητας εφαρμογών. Αυτό το συστατικό του συστήματος καταγράφει διάφορα κομμάτια μεταδεδομένων αρχείων, τα οποία περιλαμβάνουν:

• Πλήρης διαδρομή του αρχείου

• Μέγεθος του αρχείου

• Τελευταία τροποποίηση υπό το $Standard_Information (SI)

• Τελευταία ενημέρωση του ShimCache

• Σημαία εκτέλεσης διεργασίας

Τέτοια δεδομένα αποθηκεύονται στο μητρώο σε συγκεκριμένες τοποθεσίες βάσει της έκδοσης του λειτουργικού συστήματος:

• Για το XP, τα δεδομένα αποθηκεύονται στο SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache με χωρητικότητα για 96 καταχωρήσεις.

• Για το Server 2003, καθώς και για τις εκδόσεις των Windows 2008, 2012, 2016, 7, 8 και 10, η διαδρομή αποθήκευσης είναι SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache, με χωρητικότητα για 512 και 1024 καταχωρήσεις αντίστοιχα.

Για την ανάλυση των αποθηκευμένων πληροφοριών, συνιστάται η χρήση του εργαλείου AppCompatCacheParser.

Amcache

Το αρχείο Amcache.hve είναι ουσιαστικά ένα καταγεγραμμένο μητρώο που καταγράφει λεπτομέρειες για εφαρμογές που έχουν εκτελεστεί σε ένα σύστημα. Συνήθως βρίσκεται στη διαδρομή C:\Windows\AppCompat\Programas\Amcache.hve.

Αυτό το αρχείο είναι σημαντικό για την αποθήκευση εγγραφών πρόσφατα εκτελεσμένων διεργασιών, συμπεριλαμβανομένων των διαδρομών προς τα εκτελέσιμα αρχεία και των SHA1 κατακερματισμένων τους. Αυτές οι πληροφορίες είναι ανεκτίμητες για την παρακολούθηση της δραστηριότητας των εφαρμογών σε ένα σύστημα.

Για την εξαγωγή και ανάλυση των δεδομένων από το Amcache.hve, μπορεί να χρησιμοποιηθεί το εργαλείο AmcacheParser. Το παρακάτω παράδειγμα είναι ένας τρόπος χρήσης του AmcacheParser για την ανάλυση του περιεχομένου του αρχείου Amcache.hve και την εξαγωγή των αποτελεσμάτων σε μορφή CSV:

AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder

Ανάμεσα στα δημιουργημένα αρχεία CSV, το Amcache_Unassociated file entries ξεχωρίζει ιδιαίτερα λόγω των πλούσιων πληροφοριών που παρέχει σχετικά με τις μη συσχετισμένες καταχωρήσεις αρχείων.

Το πιο ενδιαφέρον αρχείο CVS που δημιουργείται είναι το Amcache_Unassociated file entries.

Πρόσφατα αρχεία cache

Αυτό το αρχείο μπορεί να βρεθεί μόνο στα Windows 7 στη διαδρομή C:\Windows\AppCompat\Programs\RecentFileCache.bcf και περιέχει πληροφορίες σχετικά με την πρόσφατη εκτέλεση ορισμένων δυαδικών αρχείων.

Μπορείτε να χρησιμοποιήσετε το εργαλείο RecentFileCacheParse για να αναλύσετε το αρχείο.

Προγραμματισμένες εργασίες

Μπορείτε να τις εξάγετε από τη διαδρομή C:\Windows\Tasks ή C:\Windows\System32\Tasks και να τις διαβάσετε ως XML.

Υπηρεσίες

Μπορείτε να τις βρείτε στο μητρώο κάτω από το SYSTEM\ControlSet001\Services. Μπορείτε να δείτε τι θα εκτελεστεί και πότε.

Windows Store

Οι εγκατεστημένες εφαρμογές μπορούν να βρεθούν στη διαδρομή \ProgramData\Microsoft\Windows\AppRepository\ Αυτή η αποθήκη έχει ένα αρχείο καταγραφής με κάθε εγκατεστημένη εφαρμογή στο σύστημα μέσα στη βάση δεδομένων StateRepository-Machine.srd.

Μέσα στον πίνακα Application αυτής της βάσης δεδομένων, είναι δυνατόν να βρεθούν οι στήλες: "Application ID", "PackageNumber" και "Display Name". Αυτές οι στήλες περιέχουν πληροφορίες για προεγκατεστημένες και εγκατεστημένες εφαρμογές και μπορεί να διαπιστωθεί αν κάποιες εφαρμογές έχουν απεγκατασταθεί επειδή οι αναγνωριστικοί των εγκατεστημένων εφαρμογών πρέπει να είναι συνεχόμενοι.

Είναι επίσης δυνατό να βρεθούν εγκατεστημένες εφαρμογές μέσα στη διαδρομή του μητρώου: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\ Και απεγκατεστημένες εφαρμογές στο: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\

Γεγονότα των Windows

Οι πληροφορίες που εμφανίζονται στα γεγονότα των Windows είναι:

• Τι συνέβη

• Χρονική σήμανση (UTC + 0)

• Συμμετέχοντες χρήστες

• Συμμετέχοντες υπολογιστές (όνομα κεντρικού υπολογιστή, IP)

• Πόροι που ανατέθηκαν (αρχεία, φάκελοι, εκτυπωτές, υπηρεσίες)

Τα αρχεία καταγραφής βρίσκονται στη διαδρομή C:\Windows\System32\config πριν από τα Windows Vista και στη διαδρομή C:\Windows\System32\winevt\Logs μετά τα Windows Vista. Πριν από τα Windows Vista, τα αρχεία καταγραφής γεγονότων ήταν σε δυαδική μορφή και μετά από αυτό, είναι σε μορφή XML και χρησιμοποιούν την επέκταση .evtx.

Η τοποθεσία των αρχείων γεγονότων μπορεί να βρεθεί στο μητρώο SYSTEM στο HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}

Μπορούν να προβληθούν μέσω του Προβολέα Γεγονότων των Windows (eventvwr.msc) ή με άλλα εργαλεία όπως το Event Log Explorer ή Evtx Explorer/EvtxECmd.

Κατανόηση της καταγραφής γεγονότων ασφάλειας των Windows

Τα γεγονότα πρόσβασης καταγράφονται στο αρχείο ρύθμισης ασφάλειας που βρίσκεται στη διαδρομή C:\Windows\System32\winevt\Security.evtx. Το μέγεθος αυτού του αρχείου είναι προσαρμόσιμο και όταν φτάσει στη χωρητικότητά του, τα παλαιότερα γεγονότα αντικαθίστανται. Τα καταγεγραμμένα γεγονότα περιλαμβάνουν τις συνδέσεις και αποσυνδέσεις χρηστών, τις ενέργειες των χρηστών και τις αλλαγές στις ρυθμίσεις ασφάλειας, καθ

Συμβάντα Τροφοδοσίας Συστήματος

Το EventID 6005 υποδεικνύει την εκκίνηση του συστήματος, ενώ το EventID 6006 σηματοδοτεί τον αποκλεισμό.

Διαγραφή Καταγραφών

Το EventID 1102 της Ασφάλειας υποδεικνύει τη διαγραφή των καταγραφών, ένα κρίσιμο γεγονός για την ανάλυση αποδεικτικών στοιχείων.