Windows Artifacts

Windows आर्टिफैक्ट्स

जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!

HackTricks का समर्थन करने के अन्य तरीके:

यदि आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सब्सक्रिप्शन प्लान्स देखें!
आधिकारिक PEASS और HackTricks स्वैग प्राप्त करें
हमारा विशेष NFTs संग्रह, The PEASS Family खोजें
शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या हमें ट्विटर 🐦 @hacktricks_live** पर फॉलो** करें।
हैकिंग ट्रिक्स साझा करें द्वारा पीआर जमा करके HackTricks और HackTricks Cloud github रेपो में।

सामान्य Windows आर्टिफैक्ट्स

Windows 10 सूचनाएं

पथ \Users\<username>\AppData\Local\Microsoft\Windows\Notifications में आपको डेटाबेस appdb.dat (Windows anniversary से पहले) या wpndatabase.db (Windows Anniversary के बाद) मिल सकता है।

इस SQLite डेटाबेस में, आप Notification तालिका पाएंगे जिसमें सभी सूचनाएं (XML प्रारूप में) हो सकती हैं जो दिलचस्प डेटा शामिल कर सकती हैं।

टाइमलाइन

टाइमलाइन एक Windows विशेषता है जो वेब पेज, संपादित दस्तावेज़ और चलाए गए एप्लिकेशनों का कालांकिक इतिहास प्रदान करता है।

डेटाबेस पथ \Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db में स्थित है। इस डेटाबेस को एक SQLite उपकरण के साथ खोला जा सकता है या उपकरण WxTCmd के साथ जो 2 फ़ाइलें उत्पन्न करता है जो उपकरण TimeLine Explorer के साथ खोली जा सकती हैं।

ADS (वैकल्पिक डेटा स्ट्रीम्स)

डाउनलोड की गई फ़ाइलें ADS Zone.Identifier शामिल कर सकती हैं जो इसे इंट्रानेट, इंटरनेट आदि से कैसे डाउनलोड किया गया था का संकेत देती है। कुछ सॉफ़्टवेयर (जैसे ब्राउज़र) आम तौर पर फ़ाइल को डाउनलोड किए गए URL जैसी अधिक जानकारी भी डालते हैं।

फ़ाइल बैकअप्स

रीसाइकल बिन

Vista/Win7/Win8/Win10 में रीसाइकल बिन ड्राइव की रूट में फ़ोल्डर $Recycle.bin में पाया जा सकता है (C:\$Recycle.bin)। जब इस फ़ोल्डर में एक फ़ाइल हटाई जाती है, तो 2 विशिष्ट फ़ाइलें बनाई जाती हैं:

$I{id}: फ़ाइल की जानकारी (जब यह हटाई गई थी की तारीख}
$R{id}: फ़ाइल की सामग्री

इन फ़ाइलों के साथ आप उपकरण Rifiuti का उपयोग करके हटाई गई फ़ाइलों का मूल पता और हटाई गई तारीख प्राप्त कर सकते हैं (Vista - Win10 के लिए rifiuti-vista.exe का उपयोग करें)।

.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle

वॉल्यूम शैडो कॉपी

शैडो कॉपी एक तकनीक है जो माइक्रोसॉफ्ट विंडोज में शामिल है जो कंप्यूटर फ़ाइल या वॉल्यूम की बैकअप कॉपियां या स्नैपशॉट बना सकती है, भले ही वे उपयोग में हों।

ये बैकअप्स आम तौर पर \System Volume Information में रूट फ़ाइल सिस्टम से स्थित होते हैं और उनका नाम निम्नलिखित छवि में दिखाए गए UIDs से मिलकर बनता है:

ArsenalImageMounter के साथ फोरेंसिक्स इमेज को माउंट करके, उपकरण ShadowCopyView का उपयोग एक शैडो कॉपी की जांच करने और शैडो कॉपी बैकअप से फ़ाइलें निकालने के लिए किया जा सकता है।

रजिस्ट्री एंट्री HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore फ़ाइलें और कुंजियों को शामिल करती है जिन्हें बैकअप न करें:

रजिस्ट्री HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS में भी वॉल्यूम शैडो कॉपियों के बारे में विन्यास सूचना होती है।

ऑफिस ऑटोसेव्ड फ़ाइलें

आप ऑफिस ऑटोसेव्ड फ़ाइलें यहाँ पा सकते हैं: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\

शैल आइटम्स

एक शैल आइटम एक आइटम है जो दूसरी फ़ाइल तक पहुँचने के बारे में जानकारी रखता है।

हाल के दस्तावेज़ (LNK)

विंडोज स्वचालित रूप से ये शॉर्टकट बनाता है जब उपयोगकर्ता फ़ाइल खोलता है, उपयोग करता है या बनाता है:

Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
Office: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\

जब एक फ़ोल्डर बनाया जाता है, तो एक लिंक फ़ाइल बनाई जाती है, माता-पिता फ़ोल्डर के लिए और परदादी फ़ोल्डर के लिए भी।

ये स्वचालित रूप से बनाए गए लिंक फ़ाइलें मूल के बारे में जानकारी रखती हैं जैसे कि यह एक फ़ाइल है या एक फ़ोल्डर, उस फ़ाइल के MAC समय, जहाँ फ़ाइल संग्रहित है और लक्षित फ़ाइल का फ़ोल्डर। यह जानकारी उन फ़ाइलों को पुनः प्राप्त करने में सहायक हो सकती है जो हटा दी गई थीं।

इसके अलावा, लिंक फ़ाइल का निर्माण तिथि वह समय है जब मूल फ़ाइल पहली बार उपयोग की गई थी और लिंक फ़ाइल का संशोधित तिथि वह अंतिम समय है जब मूल फ़ाइल का उपयोग हुआ था।

इन फ़ाइलों की जांच करने के लिए आप LinkParser का उपयोग कर सकते हैं।

इस उपकरण में आपको 2 सेट के टाइमस्टैम्प मिलेंगे:

पहला सेट:

फ़ाइल संशोधित तिथि
फ़ाइल एक्सेस तिथि
फ़ाइल निर्माण तिथि

दूसरा सेट:

लिंक संशोधित तिथि
लिंक एक्सेस तिथि
लिंक निर्माण तिथि।

पहले सेट का टाइमस्टैम्प फ़ाइल इसल्फ के टाइमस्टैम्प्स को संदर्भित करता है। दूसरा सेट लिंक की फ़ाइल के टाइमस्टैम्प्स को संदर्भित करता है।

आप विंडोज CLI उपकरण चलाकर इसी जानकारी को प्राप्त कर सकते हैं: LECmd.exe

LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs

जम्पलिस्ट्स

ये हाल के फ़ाइलें हैं जो प्रत्येक एप्लिकेशन के लिए दर्शाई जाती हैं। यह एक ऐसी सूची है जिसमें एक एप्लिकेशन द्वारा उपयोग की गई हाल की फ़ाइलें हैं जिसे आप प्रत्येक एप्लिकेशन पर पहुँच सकते हैं। ये स्वचालित रूप से बनाई जा सकती हैं या कस्टम भी हो सकती हैं।

जम्पलिस्ट्स जो स्वचालित रूप से बनाई गई हैं, उन्हें C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\ में संग्रहित किया जाता है। जम्पलिस्ट्स का नामकरण {id}.autmaticDestinations-ms नामक प्रारूप का होता है जहाँ प्रारंभिक आईडी एप्लिकेशन का आईडी होता है।

कस्टम जम्पलिस्ट्स C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\ में संग्रहित की जाती हैं और उन्हें एप्लिकेशन द्वारा सामान्यत: कुछ महत्वपूर्ण होने के कारण बनाया जाता है (शायद पसंदीदा के रूप में चिह्नित किया गया हो)

किसी भी जम्पलिस्ट का निर्माण समय दर्शाता है फ़ाइल का पहली बार उपयोग किया गया था और संशोधित समय अंतिम बार।

आप JumplistExplorer का उपयोग करके जम्पलिस्ट्स की जांच कर सकते हैं।

(कृपया ध्यान दें कि JumplistExplorer द्वारा प्रदान की गई समय चिह्नित जम्पलिस्ट फ़ाइल से संबंधित हैं)

.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"

सुपरप्रीफेच

सुपरप्रीफेच का उसी लक्ष्य है जैसे प्रीफेच, प्रोग्राम्स को तेजी से लोड करना अगले क्या लोड होने वाला है का पूर्वानुमान करके। हालांकि, यह प्रीफेच सेवा की जगह नहीं लेता है। यह सेवा डेटाबेस फ़ाइल्स उत्पन्न करेगी C:\Windows\Prefetch\Ag*.db में।

इन डेटाबेस में आप प्रोग्राम का नाम, एक्जीक्यूशन्स की संख्या, फ़ाइलें ओपन की गईं, वॉल्यूम एक्सेस किया गया, पूरा पथ, समयअंतर और टाइमस्टैम्प्स देख सकते हैं।

आप इस जानकारी तक पहुंच सकते हैं उपकरण CrowdResponse का उपयोग करके।

SRUM

सिस्टम रिसोर्स यूजेज मॉनिटर (SRUM) प्रक्रिया द्वारा उपयोग किए गए संसाधनों का निगरानी करता है। यह W8 में प्रकट हुआ और यह डेटा को C:\Windows\System32\sru\SRUDB.dat में स्थित एक ESE डेटाबेस में संग्रहित करता है।

यह निम्नलिखित जानकारी प्रदान करता है:

एप्लिकेशन आईडी और पथ
प्रक्रिया को चलाने वाला उपयोगकर्ता
भेजे गए बाइट्स
प्राप्त बाइट्स
नेटवर्क इंटरफेस
कनेक्शन अवधि
प्रक्रिया अवधि

यह जानकारी हर 60 मिनट में अपडेट होती है।

आप इस फ़ाइल से डेटा प्राप्त कर सकते हैं उपकरण srum_dump का उपयोग करके।

.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum

AppCompatCache (ShimCache)

AppCompatCache, जिसे ShimCache भी कहा जाता है, Microsoft द्वारा विकसित Application Compatibility Database का हिस्सा बनता है जो एप्लिकेशन संगतता समस्याओं का सामना करने के लिए है। यह सिस्टम कॉम्पोनेंट विभिन्न फ़ाइल मेटाडेटा को रिकॉर्ड करता है, जिसमें शामिल हैं:

फ़ाइल का पूरा पथ
फ़ाइल का आकार
$Standard_Information (SI) के तहत अंतिम संशोधित समय
ShimCache का अंतिम अपड

AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder

नवीनतम फ़ाइल कैश

यह आर्टिफैक्ट केवल W7 में C:\Windows\AppCompat\Programs\RecentFileCache.bcf में पाया जा सकता है और यह कुछ बाइनरी के हाल ही में निष्पादन के बारे में जानकारी रखता है।

आप फ़ाइल को पार्स करने के लिए उपकरण RecentFileCacheParse का उपयोग कर सकते हैं।

निर्धारित कार्य

आप इन्हें C:\Windows\Tasks या C:\Windows\System32\Tasks से निकाल सकते हैं और उन्हें XML के रूप में पढ़ सकते हैं।

सेवाएं

आप उन्हें रजिस्ट्री में SYSTEM\ControlSet001\Services के तहत पा सकते हैं। आप देख सकते हैं कि क्या निष्पादित किया जा रहा है और कब।

Windows Store

स्थापित एप्लिकेशन \ProgramData\Microsoft\Windows\AppRepository\ में पाए जा सकते हैं। इस भंडार में एक लॉग है जिसमें प्रत्येक एप्लिकेशन की स्थापना की गई है जो डेटाबेस StateRepository-Machine.srd के अंदर है।

इस डेटाबेस के एप्लिकेशन तालिका में, "एप्लिकेशन आईडी", "पैकेज नंबर", और "प्रदर्शन नाम" मिल सकते हैं। ये स्तंभ पूर्व स्थापित और स्थापित एप्लिकेशनों के बारे में जानकारी रखते हैं और यह पता लगाया जा सकता है कि क्या कुछ एप्लिकेशन अनइंस्टॉल किए गए थे क्योंकि स्थापित एप्लिकेशनों के आईडी सारणीक होना चाहिए।

रजिस्ट्री पथ Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\ में स्थापित एप्लिकेशन भी पाए जा सकते हैं और अनइंस्टॉल एप्लिकेशन में: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\

Windows घटनाएँ

Windows घटनाओं के अंदर जो जानकारी आती है:

क्या हुआ
टाइमस्टैम्प (UTC + 0)
शामिल हुए उपयोगकर्ता
शामिल हुए होस्ट (होस्टनाम, आईपी)
एसेट्स तक पहुंचा गया (फ़ाइलें, फ़ोल्डर, प्रिंटर, सेवाएं)

लॉग C:\Windows\System32\config में पहले Windows Vista से पहले और C:\Windows\System32\winevt\Logs में Windows Vista के बाद स्थित हैं। Windows Vista से पहले, घटना लॉग बाइनरी प्रारूप में थे और इसके बाद, वे XML प्रारूप में हैं और .evtx एक्सटेंशन का उपयोग करते हैं।

घटना फ़ाइलों की स्थिति को HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security} में पाया जा सकता है।

इन्हें Windows घटना दर्शक (eventvwr.msc) से या Event Log Explorer जैसे अन्य उपकरणों के साथ देखा जा सकता है या Evtx Explorer/EvtxECmd** के साथ।**

Windows सुरक्षा घटना लॉगिंग को समझना

सुरक्षा विन्यास फ़ाइल में एक्सेस घटनाएँ रिकॉर्ड की जाती हैं जो C:\Windows\System32\winevt\Security.evtx में स्थित है। इस फ़ाइल का आकार समायोज्य है, और जब इसकी क्षमता पूरी हो जाती है, पुरानी घटनाएँ ओवरराइट हो जाती हैं। रिकॉर्ड की गई घटनाएँ उपयोगकर्ता लॉगिन और लॉगआउट, उपयोगकर्ता क्रियाएँ, और सुरक्षा सेटिंग्स में परिवर्तनों के साथ, साथ ही फ़ाइल, फ़ोल्डर, और साझा संपत्ति एक्सेस शामिल हैं।

उपयोगकर्ता प्रमाणीकरण के लिए मुख्य घटना आईडी:

घटना आईडी 4624: उपयोगकर्ता सफलतापूर्वक प्रमाणीकृत करता है।
घटना आईडी 4625: प्रमाणीकरण विफलता की संकेत देता है।
घटना आईडी 4634/4647: उपयोगकर्ता लॉगआउट घटनाएँ को प्रस्तुत करता है।
घटना आईडी 4672: प्रशासनिक विशेषाधिकारों के साथ लॉगिन को दर्शाता है।

घटना आईडी 4634/4647 के अंदर उप-प्रकार:

इंटरैक्टिव (2): सीधे उपयोगकर्ता लॉगिन।
नेटवर्क (3): साझा फ़ोल्डरों तक पहुंच।
बैच (4): बैच प्रक्रियाओं का निष्पादन।
सेवा (5): सेवा लॉन्च।
प्रॉक्सी (6): प्रॉक्सी प्रमाणीकरण।
अनलॉक (7): पासवर्ड के साथ स्क्रीन अनलॉक।
नेटवर्क क्लियरटेक्स्ट (8): क्लियर टेक्स्ट पासवर्ड प्रसारण, अक्सर IIS से।
नए प्रमाणीकरण (9): एक्सेस के लिए विभिन्न प्रमाणीकरण का उपयोग।
रिमोट इंटरैक्टिव (10): रिमोट डेस्कटॉप या टर्मिनल सेवाओं लॉगिन।
कैश इंटरैक्टिव (11): डोमेन कंट्रोलर से संपर्क के बिना कैश उपयोगकर्ता पहुंच।
कैश रिमोट इंटरैक्टिव (12): कैश उपयोगकर्ता पहुंच के साथ रिमोट लॉगिन।
कैश अनलॉक (13): कैश उपयोगकर्ता पहुंच के साथ अनलॉक।

घटना आईडी 4625 के लिए स्थिति और उप-स्थिति कोड:

0xC0000064: उपयोगकर्ता नाम मौजूद नहीं है - उपयोगकर्ता नाम जांच आक्रमण का संकेत हो सकता है।
0xC000006A: सही उपयोगकर्ता नाम लेकिन गलत पासवर्ड - संभावित पासवर्ड अनुमान या ब्रूट-फोर्स प्रयास।
0xC0000234: उपयोगकर्ता खाता लॉकआउट - एक से अधिक विफल लॉगिन के परिणामस्वरूप ब्रूट-फोर्स हमले का परिणाम हो सकता है।
0xC0000072: खाता निषेधित - निषेधित खातों तक पहुंच के अनधिकृत प्रयास।
0xC000006F: अनुमत समय के बाहर लॉगिन - निर्धारित लॉगिन समय के बाहर पहुंच के प्रयास, अनधिकृत पहुंच के संभावित संकेत।
0xC0000070: वर्कस्टेशन प्रतिबंधों का उल्लंघन - अनधिकृत स्थान से लॉगिन का प्रयास।
0xC0000193: खाता समाप्ति - समाप्त हो चुके उपयोगकर्ता खातों के साथ पहुंच के प्रयास।
0xC0000071: समाप्त पासवर्ड - पुराने पासवर्ड के साथ लॉगिन के प्रयास।
0xC0000133: समय सिंक समस्याएँ - क्लाइंट और सर्वर के बीच बड़े समय अंतर का संकेत हो सकता है जो पास-द-टिकट जैसे अधिक विकल्पित हमलों का संकेत हो सकता है।
0xC0000224: अनिवार्य पासवर्ड परिवर्तन आवश्यक - नियमित पासवर्ड परिवर्तन खाता सुरक्षा को अस्थिर करने का प्रयास सुझा सकता है।
0xC0000225: एक सिस्टम बग का संकेत है न कि सुरक्षा समस्या।
0xC000015b: अनधिकृत लॉगिन प्रकार के साथ अधिकृत पहुंच का प्र

PreviousZIPs tricks NextInteresting Windows Registry Keys

Last updated 3 months ago