Windows Artifacts
Windows Artifacts
Generic Windows Artifacts
Windows 10 Notifications
पथ \Users\<username>\AppData\Local\Microsoft\Windows\Notifications
में आप डेटाबेस appdb.dat
(Windows की वर्षगांठ से पहले) या wpndatabase.db
(Windows की वर्षगांठ के बाद) पा सकते हैं।
इस SQLite डेटाबेस के अंदर, आप Notification
तालिका पा सकते हैं जिसमें सभी सूचनाएँ (XML प्रारूप में) होती हैं जो दिलचस्प डेटा हो सकता है।
Timeline
Timeline एक Windows विशेषता है जो कालानुक्रमिक इतिहास प्रदान करती है जिसमें देखी गई वेब पृष्ठ, संपादित दस्तावेज़, और निष्पादित अनुप्रयोग शामिल होते हैं।
डेटाबेस पथ \Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db
में स्थित है। इस डेटाबेस को SQLite टूल या WxTCmd टूल के साथ खोला जा सकता है जो 2 फ़ाइलें उत्पन्न करता है जिन्हें TimeLine Explorer टूल के साथ खोला जा सकता है।
ADS (Alternate Data Streams)
डाउनलोड की गई फ़ाइलों में ADS Zone.Identifier हो सकता है जो यह बताता है कि इसे कैसे डाउनलोड किया गया था, जैसे कि इंट्रानेट, इंटरनेट, आदि। कुछ सॉफ़्टवेयर (जैसे ब्राउज़र) आमतौर पर फ़ाइल डाउनलोड करने के लिए URL जैसी अधिक जानकारी भी डालते हैं।
File Backups
Recycle Bin
Vista/Win7/Win8/Win10 में Recycle Bin ड्राइव के रूट में फ़ोल्डर $Recycle.bin
में पाया जा सकता है।
जब इस फ़ोल्डर में एक फ़ाइल हटाई जाती है, तो 2 विशिष्ट फ़ाइलें बनाई जाती हैं:
$I{id}
: फ़ाइल जानकारी (जब इसे हटाया गया था)$R{id}
: फ़ाइल की सामग्री
इन फ़ाइलों के साथ, आप Rifiuti टूल का उपयोग करके हटाई गई फ़ाइलों का मूल पता और इसे हटाए जाने की तारीख प्राप्त कर सकते हैं (Vista – Win10 के लिए rifiuti-vista.exe
का उपयोग करें)।
वॉल्यूम शैडो कॉपियाँ
शैडो कॉपी एक तकनीक है जो Microsoft Windows में शामिल है, जो कंप्यूटर फ़ाइलों या वॉल्यूम की बैकअप कॉपियाँ या स्नैपशॉट बनाने की अनुमति देती है, भले ही वे उपयोग में हों।
ये बैकअप आमतौर पर फ़ाइल सिस्टम की जड़ से \System Volume Information
में स्थित होते हैं और नाम UIDs से बना होता है जो निम्नलिखित चित्र में दिखाए गए हैं:
फोरेंसिक्स इमेज को ArsenalImageMounter के साथ माउंट करते समय, टूल ShadowCopyView का उपयोग शैडो कॉपी का निरीक्षण करने और यहां तक कि फाइलों को निकालने के लिए किया जा सकता है।
रजिस्ट्री प्रविष्टि HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore
उन फ़ाइलों और कुंजियों को बैकअप न करने के लिए शामिल करती है:
रजिस्ट्री HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS
में वॉल्यूम शैडो कॉपियों
के बारे में कॉन्फ़िगरेशन जानकारी भी शामिल है।
ऑफिस ऑटोसेव्ड फ़ाइलें
आप ऑफिस ऑटोसेव्ड फ़ाइलें निम्नलिखित पते पर पा सकते हैं: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\
शेल आइटम
एक शेल आइटम एक ऐसा आइटम है जिसमें किसी अन्य फ़ाइल तक पहुँचने के तरीके के बारे में जानकारी होती है।
हाल के दस्तावेज़ (LNK)
Windows स्वतः इन शॉर्टकट्स को तब बनाता है जब उपयोगकर्ता एक फ़ाइल खोलता है, उपयोग करता है या बनाता है:
Win7-Win10:
C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
ऑफिस:
C:\Users\\AppData\Roaming\Microsoft\Office\Recent\
जब एक फ़ोल्डर बनाया जाता है, तो फ़ोल्डर, पैरेंट फ़ोल्डर और ग्रैंडपैरेंट फ़ोल्डर के लिए एक लिंक भी बनाया जाता है।
ये स्वचालित रूप से बनाए गए लिंक फ़ाइलें उद्गम के बारे में जानकारी रखती हैं जैसे कि यह फ़ाइल या फ़ोल्डर है, उस फ़ाइल के MAC समय, फ़ाइल कहाँ संग्रहीत है उसका वॉल्यूम जानकारी और लक्षित फ़ाइल का फ़ोल्डर। यह जानकारी उन फ़ाइलों को पुनर्प्राप्त करने में सहायक हो सकती है यदि वे हटा दी गई हों।
इसके अलावा, लिंक फ़ाइल की तारीख बनाई गई मूल फ़ाइल के पहले उपयोग का पहला समय है और लिंक फ़ाइल की तारीख संशोधित मूल फ़ाइल के उपयोग का अंतिम समय है।
इन फ़ाइलों का निरीक्षण करने के लिए आप LinkParser का उपयोग कर सकते हैं।
इस टूल में आपको 2 सेट टाइमस्टैम्प मिलेंगे:
पहला सेट:
FileModifiedDate
FileAccessDate
FileCreationDate
दूसरा सेट:
LinkModifiedDate
LinkAccessDate
LinkCreationDate.
पहले सेट का टाइमस्टैम्प फ़ाइल के स्वयं के टाइमस्टैम्प को संदर्भित करता है। दूसरा सेट लिंक की गई फ़ाइल के टाइमस्टैम्प को संदर्भित करता है।
आप Windows CLI टूल: LECmd.exe चलाकर वही जानकारी प्राप्त कर सकते हैं।
In this case, the information is going to be saved inside a CSV file.
Jumplists
ये हाल के फ़ाइलें हैं जो प्रत्येक एप्लिकेशन के लिए संकेतित होती हैं। यह एक एप्लिकेशन द्वारा उपयोग की गई हाल की फ़ाइलों की सूची है जिसे आप प्रत्येक एप्लिकेशन पर एक्सेस कर सकते हैं। इन्हें स्वचालित रूप से या कस्टम बनाया जा सकता है।
स्वचालित रूप से बनाए गए jumplists C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\
में संग्रहीत होते हैं। jumplists का नाम {id}.autmaticDestinations-ms
प्रारूप का पालन करते हैं जहाँ प्रारंभिक ID एप्लिकेशन की ID होती है।
कस्टम jumplists C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\
में संग्रहीत होते हैं और इन्हें आमतौर पर एप्लिकेशन द्वारा बनाया जाता है क्योंकि फ़ाइल के साथ कुछ महत्वपूर्ण हुआ है (शायद पसंदीदा के रूप में चिह्नित किया गया है)
किसी भी jumplist का निर्माण समय फ़ाइल को पहली बार एक्सेस किए जाने का समय और संशोधित समय अंतिम बार को इंगित करता है।
आप JumplistExplorer का उपयोग करके jumplists की जांच कर सकते हैं।
(ध्यान दें कि JumplistExplorer द्वारा प्रदान किए गए टाइमस्टैम्प jumplist फ़ाइल से संबंधित हैं)
Shellbags
इस लिंक का पालन करें यह जानने के लिए कि shellbags क्या हैं।
Windows USBs का उपयोग
यह पहचानना संभव है कि एक USB डिवाइस का उपयोग किया गया था धन्यवाद निम्नलिखित के निर्माण के लिए:
Windows Recent Folder
Microsoft Office Recent Folder
Jumplists
ध्यान दें कि कुछ LNK फ़ाइल मूल पथ की ओर इशारा करने के बजाय WPDNSE फ़ोल्डर की ओर इशारा करती है:
WPDNSE फ़ोल्डर में फ़ाइलें मूल फ़ाइलों की एक प्रति हैं, इसलिए ये PC के पुनरारंभ होने पर जीवित नहीं रहेंगी और GUID एक shellbag से लिया गया है।
Registry Information
यह पृष्ठ देखें यह जानने के लिए कि कौन से रजिस्ट्री कुंजी USB जुड़े उपकरणों के बारे में दिलचस्प जानकारी रखती हैं।
setupapi
USB कनेक्शन कब उत्पन्न हुआ, इसके टाइमस्टैम्प प्राप्त करने के लिए फ़ाइल C:\Windows\inf\setupapi.dev.log
की जांच करें ( Section start
के लिए खोजें)।
USB Detective
USBDetective का उपयोग उन USB उपकरणों के बारे में जानकारी प्राप्त करने के लिए किया जा सकता है जो एक छवि से जुड़े हुए हैं।
Plug and Play Cleanup
'Plug and Play Cleanup' के रूप में ज्ञात निर्धारित कार्य मुख्य रूप से पुराने ड्राइवर संस्करणों को हटाने के लिए डिज़ाइन किया गया है। इसके निर्दिष्ट उद्देश्य के विपरीत नवीनतम ड्राइवर पैकेज संस्करण को बनाए रखने के लिए, ऑनलाइन स्रोतों का सुझाव है कि यह 30 दिनों से निष्क्रिय ड्राइवरों को भी लक्षित करता है। परिणामस्वरूप, पिछले 30 दिनों में जुड़े नहीं होने वाले हटाने योग्य उपकरणों के ड्राइवरों को हटाने के अधीन किया जा सकता है।
यह कार्य निम्नलिखित पथ पर स्थित है: C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup
.
कार्य की सामग्री को दर्शाने वाली एक स्क्रीनशॉट प्रदान की गई है:
कार्य के प्रमुख घटक और सेटिंग्स:
pnpclean.dll: यह DLL वास्तविक सफाई प्रक्रिया के लिए जिम्मेदार है।
UseUnifiedSchedulingEngine:
TRUE
पर सेट, सामान्य कार्य शेड्यूलिंग इंजन के उपयोग को इंगित करता है।MaintenanceSettings:
Period ('P1M'): कार्य शेड्यूलर को नियमित स्वचालित रखरखाव के दौरान मासिक सफाई कार्य शुरू करने के लिए निर्देशित करता है।
Deadline ('P2M'): कार्य शेड्यूलर को निर्देशित करता है, यदि कार्य दो लगातार महीनों के लिए विफल रहता है, तो आपातकालीन स्वचालित रखरखाव के दौरान कार्य को निष्पादित करें।
यह कॉन्फ़िगरेशन नियमित रखरखाव और ड्राइवरों की सफाई सुनिश्चित करता है, लगातार विफलताओं के मामले में कार्य को फिर से प्रयास करने के लिए प्रावधान के साथ।
अधिक जानकारी के लिए देखें: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html
Emails
ईमेल में 2 दिलचस्प भाग होते हैं: ईमेल के हेडर और सामग्री। हेडर में आप जानकारी पा सकते हैं जैसे:
किसने ईमेल भेजे (ईमेल पता, IP, मेल सर्वर जिन्होंने ईमेल को पुनर्निर्देशित किया)
कब ईमेल भेजा गया था
इसके अलावा, References
और In-Reply-To
हेडर के अंदर आप संदेशों की ID पा सकते हैं:
Windows Mail App
यह एप्लिकेशन ईमेल को HTML या टेक्स्ट में सहेजता है। आप ईमेल को \Users\<username>\AppData\Local\Comms\Unistore\data\3\
के अंदर उपफोल्डरों में पा सकते हैं। ईमेल को .dat
एक्सटेंशन के साथ सहेजा जाता है।
ईमेल का मेटाडेटा और संपर्क EDB डेटाबेस के अंदर पाया जा सकता है: \Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol
फाइल का एक्सटेंशन .vol
से .edb
में बदलें और आप इसे खोलने के लिए ESEDatabaseView टूल का उपयोग कर सकते हैं। Message
तालिका के अंदर आप ईमेल देख सकते हैं।
Microsoft Outlook
जब एक्सचेंज सर्वर या आउटलुक क्लाइंट का उपयोग किया जाता है, तो कुछ MAPI हेडर होंगे:
Mapi-Client-Submit-Time
: समय जब ईमेल भेजा गया थाMapi-Conversation-Index
: थ्रेड के बच्चों के संदेशों की संख्या और थ्रेड के प्रत्येक संदेश का टाइमस्टैम्पMapi-Entry-ID
: संदेश पहचानकर्ता।Mappi-Message-Flags
औरPr_last_Verb-Executed
: MAPI क्लाइंट के बारे में जानकारी (संदेश पढ़ा? नहीं पढ़ा? उत्तर दिया? पुनर्निर्देशित? कार्यालय से बाहर?)
Microsoft Outlook क्लाइंट में, सभी भेजे गए/प्राप्त संदेश, संपर्क डेटा, और कैलेंडर डेटा PST फ़ाइल में संग्रहीत होते हैं:
%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook
(WinXP)%USERPROFILE%\AppData\Local\Microsoft\Outlook
रजिस्ट्री पथ HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook
उस फ़ाइल को इंगित करता है जिसका उपयोग किया जा रहा है।
आप Kernel PST Viewer टूल का उपयोग करके PST फ़ाइल खोल सकते हैं।
Microsoft Outlook OST Files
एक OST फ़ाइल Microsoft Outlook द्वारा उत्पन्न होती है जब इसे IMAP या Exchange सर्वर के साथ कॉन्फ़िगर किया जाता है, जो PST फ़ाइल के समान जानकारी संग्रहीत करती है। यह फ़ाइल सर्वर के साथ समन्वयित होती है, अंतिम 12 महीनों के लिए डेटा बनाए रखती है और 50GB के अधिकतम आकार में होती है, और PST फ़ाइल के समान निर्देशिका में स्थित होती है। OST फ़ाइल देखने के लिए, Kernel OST viewer का उपयोग किया जा सकता है।
Retrieving Attachments
खोई हुई अटैचमेंट्स को पुनर्प्राप्त किया जा सकता है:
IE10 के लिए:
%APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook
IE11 और ऊपर के लिए:
%APPDATA%\Local\Microsoft\InetCache\Content.Outlook
Thunderbird MBOX Files
Thunderbird MBOX फ़ाइलों का उपयोग डेटा संग्रहीत करने के लिए करता है, जो \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles
में स्थित होती हैं।
Image Thumbnails
Windows XP और 8-8.1: थंबनेल के साथ फ़ोल्डर तक पहुँचने पर एक
thumbs.db
फ़ाइल उत्पन्न होती है जो छवि पूर्वावलोकन संग्रहीत करती है, यहां तक कि हटाने के बाद भी।Windows 7/10:
thumbs.db
तब बनाई जाती है जब UNC पथ के माध्यम से नेटवर्क पर पहुँच की जाती है।Windows Vista और नए: थंबनेल पूर्वावलोकन
%userprofile%\AppData\Local\Microsoft\Windows\Explorer
में केंद्रीकृत होते हैं जिनके फ़ाइलें thumbcache_xxx.db नाम की होती हैं। इन फ़ाइलों को देखने के लिए Thumbsviewer और ThumbCache Viewer टूल हैं।
Windows Registry Information
Windows रजिस्ट्री, जो व्यापक प्रणाली और उपयोगकर्ता गतिविधि डेटा संग्रहीत करती है, निम्नलिखित फ़ाइलों में निहित होती है:
विभिन्न
HKEY_LOCAL_MACHINE
उपकुंजी के लिए%windir%\System32\Config
।HKEY_CURRENT_USER
के लिए%UserProfile%{User}\NTUSER.DAT
।Windows Vista और बाद के संस्करण
HKEY_LOCAL_MACHINE
रजिस्ट्री फ़ाइलों का बैकअप%Windir%\System32\Config\RegBack\
में करते हैं।इसके अतिरिक्त, प्रोग्राम निष्पादन की जानकारी Windows Vista और Windows 2008 Server से आगे
%UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT
में संग्रहीत होती है।
Tools
कुछ टूल रजिस्ट्री फ़ाइलों का विश्लेषण करने के लिए उपयोगी हैं:
Registry Editor: यह Windows में स्थापित है। यह वर्तमान सत्र की Windows रजिस्ट्री के माध्यम से नेविगेट करने के लिए एक GUI है।
Registry Explorer: यह आपको रजिस्ट्री फ़ाइल को लोड करने और GUI के साथ उनके माध्यम से नेविगेट करने की अनुमति देता है। इसमें दिलचस्प जानकारी वाले कुंजी को उजागर करने वाले बुकमार्क भी होते हैं।
RegRipper: फिर से, इसमें एक GUI है जो लोड की गई रजिस्ट्री के माध्यम से नेविगेट करने की अनुमति देता है और इसमें प्लगइन्स होते हैं जो लोड की गई रजिस्ट्री के अंदर दिलचस्प जानकारी को उजागर करते हैं।
Windows Registry Recovery: एक और GUI एप्लिकेशन जो लोड की गई रजिस्ट्री से महत्वपूर्ण जानकारी निकालने में सक्षम है।
Recovering Deleted Element
जब एक कुंजी को हटाया जाता है, तो इसे इस तरह से चिह्नित किया जाता है, लेकिन जब तक यह स्थान आवश्यक नहीं होता, तब तक इसे हटाया नहीं जाएगा। इसलिए, Registry Explorer जैसे टूल का उपयोग करके इन हटाई गई कुंजियों को पुनर्प्राप्त करना संभव है।
Last Write Time
प्रत्येक Key-Value में एक टाइमस्टैम्प होता है जो अंतिम बार संशोधित होने का समय इंगित करता है।
SAM
फ़ाइल/हाइव SAM में उपयोगकर्ताओं, समूहों और उपयोगकर्ताओं के पासवर्ड हैश होते हैं।
SAM\Domains\Account\Users
में आप उपयोगकर्ता नाम, RID, अंतिम लॉगिन, अंतिम विफल लॉगिन, लॉगिन काउंटर, पासवर्ड नीति और जब खाता बनाया गया था, प्राप्त कर सकते हैं। हैश प्राप्त करने के लिए आपको फ़ाइल/हाइव SYSTEM की भी आवश्यकता है।
Interesting entries in the Windows Registry
Interesting Windows Registry KeysPrograms Executed
Basic Windows Processes
इस पोस्ट में आप संदिग्ध व्यवहार का पता लगाने के लिए सामान्य Windows प्रक्रियाओं के बारे में जान सकते हैं।
Windows Recent APPs
रजिस्ट्री NTUSER.DAT
के अंदर पथ Software\Microsoft\Current Version\Search\RecentApps
में आप उपकुंजी पा सकते हैं जिनमें निष्पादित एप्लिकेशन, अंतिम बार इसे निष्पादित किया गया था, और कितनी बार इसे लॉन्च किया गया था।
BAM (Background Activity Moderator)
आप रजिस्ट्री संपादक के साथ SYSTEM
फ़ाइल खोल सकते हैं और पथ SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}
के अंदर आप प्रत्येक उपयोगकर्ता द्वारा निष्पादित एप्लिकेशन के बारे में जानकारी पा सकते हैं (पथ में {SID}
नोट करें) और कब उन्हें निष्पादित किया गया था (समय रजिस्ट्री के डेटा मान के अंदर है)।
Windows Prefetch
Prefetching एक तकनीक है जो एक कंप्यूटर को चुपचाप संसाधनों को लाने की अनुमति देती है जो एक उपयोगकर्ता निकट भविष्य में एक्सेस कर सकता है ताकि संसाधनों को तेजी से एक्सेस किया जा सके।
Windows prefetch में निष्पादित कार्यक्रमों के कैश बनाने की प्रक्रिया होती है ताकि उन्हें तेजी से लोड किया जा सके। ये कैश .pf
फ़ाइलों के रूप में निम्नलिखित पथ में बनाए जाते हैं: C:\Windows\Prefetch
। XP/VISTA/WIN7 में फ़ाइलों की सीमा 128 है और Win8/Win10 में 1024 फ़ाइलें हैं।
फ़ाइल का नाम {program_name}-{hash}.pf
के रूप में बनाया जाता है (हैश पथ और निष्पादनीय के तर्कों पर आधारित होता है)। W10 में ये फ़ाइलें संकुचित होती हैं। ध्यान दें कि फ़ाइल की केवल उपस्थिति यह संकेत देती है कि कार्यक्रम को किसी बिंदु पर निष्पादित किया गया था।
फ़ाइल C:\Windows\Prefetch\Layout.ini
में उन फ़ाइलों के फ़ोल्डरों के नाम होते हैं जो प्रीफेच किए गए हैं। इस फ़ाइल में निष्पादन की संख्या, निष्पादन की तिथियाँ और फ़ाइलें खुली होती हैं जो कार्यक्रम द्वारा खोली गई हैं।
इन फ़ाइलों की जांच करने के लिए आप टूल PEcmd.exe का उपयोग कर सकते हैं:
Superprefetch
Superprefetch का लक्ष्य prefetch के समान है, कार्यक्रमों को तेजी से लोड करना यह अनुमान लगाकर कि अगला क्या लोड होने वाला है। हालाँकि, यह prefetch सेवा का स्थान नहीं लेता।
यह सेवा C:\Windows\Prefetch\Ag*.db
में डेटाबेस फ़ाइलें उत्पन्न करेगी।
इन डेटाबेस में आप कार्यक्रम का नाम, कार्यवाही की संख्या, खुले फ़ाइलें, एक्सेस किया गया वॉल्यूम, पूर्ण पथ, समय सीमा और टाइमस्टैम्प पा सकते हैं।
आप इस जानकारी को CrowdResponse उपकरण का उपयोग करके एक्सेस कर सकते हैं।
SRUM
System Resource Usage Monitor (SRUM) एक प्रक्रिया द्वारा उपयोग किए गए संसाधनों की निगरानी करता है। यह W8 में प्रकट हुआ और यह डेटा को C:\Windows\System32\sru\SRUDB.dat
में ESE डेटाबेस में संग्रहीत करता है।
यह निम्नलिखित जानकारी प्रदान करता है:
AppID और पथ
उपयोगकर्ता जिसने प्रक्रिया को निष्पादित किया
भेजे गए बाइट्स
प्राप्त बाइट्स
नेटवर्क इंटरफ़ेस
कनेक्शन अवधि
प्रक्रिया अवधि
यह जानकारी हर 60 मिनट में अपडेट होती है।
आप इस फ़ाइल से डेटा प्राप्त करने के लिए srum_dump उपकरण का उपयोग कर सकते हैं।
AppCompatCache (ShimCache)
The AppCompatCache, जिसे ShimCache के नाम से भी जाना जाता है, Microsoft द्वारा विकसित Application Compatibility Database का एक हिस्सा है जो एप्लिकेशन संगतता समस्याओं को हल करने के लिए है। यह सिस्टम घटक विभिन्न फ़ाइल मेटाडेटा के टुकड़ों को रिकॉर्ड करता है, जिसमें शामिल हैं:
फ़ाइल का पूरा पथ
फ़ाइल का आकार
$Standard_Information (SI) के तहत अंतिम संशोधित समय
ShimCache का अंतिम अपडेट समय
प्रक्रिया निष्पादन ध्वज
इस तरह का डेटा ऑपरेटिंग सिस्टम के संस्करण के आधार पर विशिष्ट स्थानों पर रजिस्ट्री में संग्रहीत किया जाता है:
XP के लिए, डेटा
SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache
के तहत संग्रहीत किया जाता है जिसमें 96 प्रविष्टियों की क्षमता होती है।सर्वर 2003 के लिए, साथ ही Windows के संस्करण 2008, 2012, 2016, 7, 8, और 10 के लिए, संग्रहण पथ
SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache
है, जो क्रमशः 512 और 1024 प्रविष्टियों को समायोजित करता है।
संग्रहीत जानकारी को पार्स करने के लिए, AppCompatCacheParser टूल का उपयोग करने की सिफारिश की जाती है।
Amcache
Amcache.hve फ़ाइल मूल रूप से एक रजिस्ट्री हाइव है जो सिस्टम पर निष्पादित एप्लिकेशनों के बारे में विवरण लॉग करती है। यह आमतौर पर C:\Windows\AppCompat\Programas\Amcache.hve
पर पाई जाती है।
यह फ़ाइल हाल ही में निष्पादित प्रक्रियाओं के रिकॉर्ड को संग्रहीत करने के लिए उल्लेखनीय है, जिसमें निष्पादन योग्य फ़ाइलों के पथ और उनके SHA1 हैश शामिल हैं। यह जानकारी सिस्टम पर एप्लिकेशनों की गतिविधि को ट्रैक करने के लिए अमूल्य है।
Amcache.hve से डेटा निकालने और विश्लेषण करने के लिए, AmcacheParser टूल का उपयोग किया जा सकता है। निम्नलिखित कमांड Amcache.hve फ़ाइल की सामग्री को पार्स करने और परिणामों को CSV प्रारूप में आउटपुट करने के लिए AmcacheParser का उपयोग करने का एक उदाहरण है:
Among the generated CSV files, the Amcache_Unassociated file entries
is particularly noteworthy due to the rich information it provides about unassociated file entries.
The most interesting CVS file generated is the Amcache_Unassociated file entries
.
RecentFileCache
यह आर्टिफैक्ट केवल W7 में C:\Windows\AppCompat\Programs\RecentFileCache.bcf
में पाया जा सकता है और इसमें कुछ बाइनरी के हालिया निष्पादन के बारे में जानकारी होती है।
आप फ़ाइल को पार्स करने के लिए RecentFileCacheParse टूल का उपयोग कर सकते हैं।
Scheduled tasks
आप इन्हें C:\Windows\Tasks
या C:\Windows\System32\Tasks
से निकाल सकते हैं और XML के रूप में पढ़ सकते हैं।
Services
आप इन्हें रजिस्ट्री में SYSTEM\ControlSet001\Services
के तहत पा सकते हैं। आप देख सकते हैं कि क्या निष्पादित होने वाला है और कब।
Windows Store
स्थापित एप्लिकेशन \ProgramData\Microsoft\Windows\AppRepository\
में पाए जा सकते हैं।
इस रिपॉजिटरी में StateRepository-Machine.srd
डेटाबेस के अंदर प्रत्येक स्थापित एप्लिकेशन के साथ एक लॉग है।
इस डेटाबेस के एप्लिकेशन तालिका के अंदर, "Application ID", "PackageNumber", और "Display Name" जैसे कॉलम पाए जा सकते हैं। ये कॉलम प्री-इंस्टॉल और स्थापित एप्लिकेशनों के बारे में जानकारी रखते हैं और यह पता लगाया जा सकता है कि क्या कुछ एप्लिकेशन अनइंस्टॉल किए गए थे क्योंकि स्थापित एप्लिकेशनों के IDs अनुक्रमिक होने चाहिए।
आप रजिस्ट्री पथ में भी स्थापित एप्लिकेशन पा सकते हैं: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\
और अनइंस्टॉल एप्लिकेशन में: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\
Windows Events
Windows इवेंट्स के अंदर जो जानकारी दिखाई देती है वह है:
क्या हुआ
टाइमस्टैम्प (UTC + 0)
शामिल उपयोगकर्ता
शामिल होस्ट (hostname, IP)
एक्सेस किए गए एसेट्स (फाइलें, फ़ोल्डर, प्रिंटर, सेवाएँ)
लॉग C:\Windows\System32\config
में Windows Vista से पहले और C:\Windows\System32\winevt\Logs
में Windows Vista के बाद स्थित हैं। Windows Vista से पहले, इवेंट लॉग बाइनरी प्रारूप में थे और इसके बाद, वे XML प्रारूप में हैं और .evtx एक्सटेंशन का उपयोग करते हैं।
इवेंट फ़ाइलों का स्थान SYSTEM रजिस्ट्री में HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}
में पाया जा सकता है।
इन्हें Windows इवेंट व्यूअर (eventvwr.msc
) से या अन्य टूल जैसे Event Log Explorer या Evtx Explorer/EvtxECmd** से देखा जा सकता है।**
Understanding Windows Security Event Logging
एक्सेस इवेंट्स सुरक्षा कॉन्फ़िगरेशन फ़ाइल में दर्ज होते हैं जो C:\Windows\System32\winevt\Security.evtx
पर स्थित है। इस फ़ाइल का आकार समायोज्य है, और जब इसकी क्षमता पहुँच जाती है, तो पुराने इवेंट्स ओवरराइट हो जाते हैं। दर्ज इवेंट्स में उपयोगकर्ता लॉगिन और लॉगऑफ, उपयोगकर्ता क्रियाएँ, और सुरक्षा सेटिंग्स में परिवर्तन, साथ ही फ़ाइल, फ़ोल्डर, और साझा एसेट्स का एक्सेस शामिल है।
Key Event IDs for User Authentication:
EventID 4624: संकेत करता है कि एक उपयोगकर्ता सफलतापूर्वक प्रमाणित हुआ।
EventID 4625: प्रमाणन विफलता का संकेत देता है।
EventIDs 4634/4647: उपयोगकर्ता लॉगऑफ इवेंट्स का प्रतिनिधित्व करते हैं।
EventID 4672: प्रशासनिक विशेषाधिकारों के साथ लॉगिन को दर्शाता है।
Sub-types within EventID 4634/4647:
Interactive (2): प्रत्यक्ष उपयोगकर्ता लॉगिन।
Network (3): साझा फ़ोल्डरों तक पहुँच।
Batch (4): बैच प्रक्रियाओं का निष्पादन।
Service (5): सेवा लॉन्च।
Proxy (6): प्रॉक्सी प्रमाणन।
Unlock (7): पासवर्ड के साथ स्क्रीन अनलॉक।
Network Cleartext (8): स्पष्ट पाठ पासवर्ड ट्रांसमिशन, अक्सर IIS से।
New Credentials (9): पहुँच के लिए विभिन्न प्रमाणपत्रों का उपयोग।
Remote Interactive (10): रिमोट डेस्कटॉप या टर्मिनल सेवाओं का लॉगिन।
Cache Interactive (11): डोमेन कंट्रोलर संपर्क के बिना कैश किए गए प्रमाणपत्रों के साथ लॉगिन।
Cache Remote Interactive (12): कैश किए गए प्रमाणपत्रों के साथ रिमोट लॉगिन।
Cached Unlock (13): कैश किए गए प्रमाणपत्रों के साथ अनलॉक करना।
Status and Sub Status Codes for EventID 4625:
0xC0000064: उपयोगकर्ता नाम मौजूद नहीं है - यह उपयोगकर्ता नाम enumeration हमले का संकेत दे सकता है।
0xC000006A: सही उपयोगकर्ता नाम लेकिन गलत पासवर्ड - संभावित पासवर्ड अनुमान या ब्रूट-फोर्स प्रयास।
0xC0000234: उपयोगकर्ता खाता लॉक आउट - कई विफल लॉगिन के परिणामस्वरूप ब्रूट-फोर्स हमले का अनुसरण कर सकता है।
0xC0000072: खाता निष्क्रिय - निष्क्रिय खातों तक पहुँच के लिए अनधिकृत प्रयास।
0xC000006F: अनुमति समय के बाहर लॉगिन - सेट लॉगिन घंटों के बाहर पहुँच के प्रयासों का संकेत, अनधिकृत पहुँच का संभावित संकेत।
0xC0000070: कार्यस्थल प्रतिबंधों का उल्लंघन - अनधिकृत स्थान से लॉगिन का प्रयास हो सकता है।
0xC0000193: खाता समाप्ति - समाप्त उपयोगकर्ता खातों के साथ पहुँच के प्रयास।
0xC0000071: समाप्त पासवर्ड - पुरानी पासवर्ड के साथ लॉगिन प्रयास।
0xC0000133: समय समन्वय मुद्दे - क्लाइंट और सर्वर के बीच बड़े समय के अंतर अधिक जटिल हमलों जैसे पास-दी-टिकट का संकेत दे सकते हैं।
0xC0000224: अनिवार्य पासवर्ड परिवर्तन की आवश्यकता - बार-बार अनिवार्य परिवर्तन सुरक्षा को अस्थिर करने के प्रयास का सुझाव दे सकते हैं।
0xC0000225: सुरक्षा मुद्दे के बजाय सिस्टम बग का संकेत देता है।
0xC000015b: अस्वीकृत लॉगिन प्रकार - अनधिकृत लॉगिन प्रकार के साथ पहुँच का प्रयास, जैसे कि एक उपयोगकर्ता सेवा लॉगिन निष्पादित करने की कोशिश कर रहा है।
EventID 4616:
Time Change: सिस्टम समय में संशोधन, जो घटनाओं की समयरेखा को अस्पष्ट कर सकता है।
EventID 6005 और 6006:
System Startup and Shutdown: EventID 6005 सिस्टम के चालू होने का संकेत देता है, जबकि EventID 6006 इसे बंद करने का संकेत देता है।
EventID 1102:
Log Deletion: सुरक्षा लॉग को साफ करना, जो अक्सर अवैध गतिविधियों को छिपाने के लिए एक लाल झंडा होता है।
EventIDs for USB Device Tracking:
20001 / 20003 / 10000: USB डिवाइस का पहला कनेक्शन।
10100: USB ड्राइवर अपडेट।
EventID 112: USB डिवाइस के डालने का समय।
प्रायोगिक उदाहरणों के लिए इन लॉगिन प्रकारों और प्रमाणपत्र डंपिंग के अवसरों को अनुकरण करने के लिए, Altered Security's detailed guide पर जाएं।
इवेंट विवरण, जिसमें स्थिति और उप-स्थिति कोड शामिल हैं, इवेंट के कारणों में और अधिक अंतर्दृष्टि प्रदान करते हैं, विशेष रूप से Event ID 4625 में उल्लेखनीय।
Recovering Windows Events
हटाए गए Windows इवेंट्स को पुनर्प्राप्त करने की संभावनाओं को बढ़ाने के लिए, संदिग्ध कंप्यूटर को सीधे अनप्लग करके बंद करना उचित है। Bulk_extractor, एक पुनर्प्राप्ति उपकरण जो .evtx
एक्सटेंशन को निर्दिष्ट करता है, ऐसे इवेंट्स को पुनर्प्राप्त करने के प्रयास के लिए अनुशंसित है।
Identifying Common Attacks via Windows Events
सामान्य साइबर हमलों की पहचान में Windows इवेंट IDs का उपयोग करने के लिए एक व्यापक गाइड के लिए, Red Team Recipe पर जाएं।
Brute Force Attacks
कई EventID 4625 रिकॉर्ड द्वारा पहचाने जाने योग्य, यदि हमला सफल होता है तो इसके बाद एक EventID 4624 होता है।
Time Change
EventID 4616 द्वारा दर्ज, सिस्टम समय में परिवर्तन फोरेंसिक विश्लेषण को जटिल बना सकता है।
USB Device Tracking
USB डिवाइस ट्रैकिंग के लिए उपयोगी सिस्टम EventIDs में प्रारंभिक उपयोग के लिए 20001/20003/10000, ड्राइवर अपडेट के लिए 10100, और DeviceSetupManager से डालने के समय के लिए EventID 112 शामिल हैं।
System Power Events
EventID 6005 सिस्टम के चालू होने का संकेत देता है, जबकि EventID 6006 बंद होने का संकेत देता है।
Log Deletion
सुरक्षा EventID 1102 लॉग के हटाने का संकेत देता है, जो फोरेंसिक विश्लेषण के लिए एक महत्वपूर्ण घटना है।
Last updated