Windows Artifacts

Windows Artifacts

Generic Windows Artifacts

Windows 10 Notifications

पथ \Users\<username>\AppData\Local\Microsoft\Windows\Notifications में आप डेटाबेस appdb.dat (Windows की वर्षगांठ से पहले) या wpndatabase.db (Windows की वर्षगांठ के बाद) पा सकते हैं।

इस SQLite डेटाबेस के अंदर, आप Notification तालिका पा सकते हैं जिसमें सभी सूचनाएँ (XML प्रारूप में) होती हैं जो दिलचस्प डेटा हो सकता है।

Timeline

Timeline एक Windows विशेषता है जो कालानुक्रमिक इतिहास प्रदान करती है जिसमें देखी गई वेब पृष्ठ, संपादित दस्तावेज़, और निष्पादित अनुप्रयोग शामिल होते हैं।

डेटाबेस पथ \Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db में स्थित है। इस डेटाबेस को SQLite टूल या WxTCmd टूल के साथ खोला जा सकता है जो 2 फ़ाइलें उत्पन्न करता है जिन्हें TimeLine Explorer टूल के साथ खोला जा सकता है।

ADS (Alternate Data Streams)

डाउनलोड की गई फ़ाइलों में ADS Zone.Identifier हो सकता है जो यह बताता है कि इसे कैसे डाउनलोड किया गया था, जैसे कि इंट्रानेट, इंटरनेट, आदि। कुछ सॉफ़्टवेयर (जैसे ब्राउज़र) आमतौर पर फ़ाइल डाउनलोड करने के लिए URL जैसी अधिक जानकारी भी डालते हैं।

File Backups

Recycle Bin

Vista/Win7/Win8/Win10 में Recycle Bin ड्राइव के रूट में फ़ोल्डर $Recycle.bin में पाया जा सकता है। जब इस फ़ोल्डर में एक फ़ाइल हटाई जाती है, तो 2 विशिष्ट फ़ाइलें बनाई जाती हैं:

• $I{id}: फ़ाइल जानकारी (जब इसे हटाया गया था)

• $R{id}: फ़ाइल की सामग्री

इन फ़ाइलों के साथ, आप Rifiuti टूल का उपयोग करके हटाई गई फ़ाइलों का मूल पता और इसे हटाए जाने की तारीख प्राप्त कर सकते हैं (Vista – Win10 के लिए rifiuti-vista.exe का उपयोग करें)।

.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle

वॉल्यूम शैडो कॉपियाँ

शैडो कॉपी एक तकनीक है जो Microsoft Windows में शामिल है, जो कंप्यूटर फ़ाइलों या वॉल्यूम की बैकअप कॉपियाँ या स्नैपशॉट बनाने की अनुमति देती है, भले ही वे उपयोग में हों।

ये बैकअप आमतौर पर फ़ाइल सिस्टम की जड़ से \System Volume Information में स्थित होते हैं और नाम UIDs से बना होता है जो निम्नलिखित चित्र में दिखाए गए हैं:

फोरेंसिक्स इमेज को ArsenalImageMounter के साथ माउंट करते समय, टूल ShadowCopyView का उपयोग शैडो कॉपी का निरीक्षण करने और यहां तक कि फाइलों को निकालने के लिए किया जा सकता है।

रजिस्ट्री प्रविष्टि HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore उन फ़ाइलों और कुंजियों को बैकअप न करने के लिए शामिल करती है:

रजिस्ट्री HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS में वॉल्यूम शैडो कॉपियों के बारे में कॉन्फ़िगरेशन जानकारी भी शामिल है।

ऑफिस ऑटोसेव्ड फ़ाइलें

आप ऑफिस ऑटोसेव्ड फ़ाइलें निम्नलिखित पते पर पा सकते हैं: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\

शेल आइटम

एक शेल आइटम एक ऐसा आइटम है जिसमें किसी अन्य फ़ाइल तक पहुँचने के तरीके के बारे में जानकारी होती है।

हाल के दस्तावेज़ (LNK)

Windows स्वतः इन शॉर्टकट्स को तब बनाता है जब उपयोगकर्ता एक फ़ाइल खोलता है, उपयोग करता है या बनाता है:

• Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\

• ऑफिस: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\

जब एक फ़ोल्डर बनाया जाता है, तो फ़ोल्डर, पैरेंट फ़ोल्डर और ग्रैंडपैरेंट फ़ोल्डर के लिए एक लिंक भी बनाया जाता है।

ये स्वचालित रूप से बनाए गए लिंक फ़ाइलें उद्गम के बारे में जानकारी रखती हैं जैसे कि यह फ़ाइल या फ़ोल्डर है, उस फ़ाइल के MAC समय, फ़ाइल कहाँ संग्रहीत है उसका वॉल्यूम जानकारी और लक्षित फ़ाइल का फ़ोल्डर। यह जानकारी उन फ़ाइलों को पुनर्प्राप्त करने में सहायक हो सकती है यदि वे हटा दी गई हों।

इसके अलावा, लिंक फ़ाइल की तारीख बनाई गई मूल फ़ाइल के पहले उपयोग का पहला समय है और लिंक फ़ाइल की तारीख संशोधित मूल फ़ाइल के उपयोग का अंतिम समय है।

इन फ़ाइलों का निरीक्षण करने के लिए आप LinkParser का उपयोग कर सकते हैं।

इस टूल में आपको 2 सेट टाइमस्टैम्प मिलेंगे:

• पहला सेट:

1. FileModifiedDate

2. FileAccessDate

3. FileCreationDate

• दूसरा सेट:

1. LinkModifiedDate

2. LinkAccessDate

3. LinkCreationDate.

पहले सेट का टाइमस्टैम्प फ़ाइल के स्वयं के टाइमस्टैम्प को संदर्भित करता है। दूसरा सेट लिंक की गई फ़ाइल के टाइमस्टैम्प को संदर्भित करता है।

आप Windows CLI टूल: LECmd.exe चलाकर वही जानकारी प्राप्त कर सकते हैं।

LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs

In this case, the information is going to be saved inside a CSV file.

Jumplists

ये हाल के फ़ाइलें हैं जो प्रत्येक एप्लिकेशन के लिए संकेतित होती हैं। यह एक एप्लिकेशन द्वारा उपयोग की गई हाल की फ़ाइलों की सूची है जिसे आप प्रत्येक एप्लिकेशन पर एक्सेस कर सकते हैं। इन्हें स्वचालित रूप से या कस्टम बनाया जा सकता है।

स्वचालित रूप से बनाए गए jumplists C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\ में संग्रहीत होते हैं। jumplists का नाम {id}.autmaticDestinations-ms प्रारूप का पालन करते हैं जहाँ प्रारंभिक ID एप्लिकेशन की ID होती है।

कस्टम jumplists C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\ में संग्रहीत होते हैं और इन्हें आमतौर पर एप्लिकेशन द्वारा बनाया जाता है क्योंकि फ़ाइल के साथ कुछ महत्वपूर्ण हुआ है (शायद पसंदीदा के रूप में चिह्नित किया गया है)

किसी भी jumplist का निर्माण समय फ़ाइल को पहली बार एक्सेस किए जाने का समय और संशोधित समय अंतिम बार को इंगित करता है।

आप JumplistExplorer का उपयोग करके jumplists की जांच कर सकते हैं।

(ध्यान दें कि JumplistExplorer द्वारा प्रदान किए गए टाइमस्टैम्प jumplist फ़ाइल से संबंधित हैं)

Shellbags

इस लिंक का पालन करें यह जानने के लिए कि shellbags क्या हैं।

Windows USBs का उपयोग

यह पहचानना संभव है कि एक USB डिवाइस का उपयोग किया गया था धन्यवाद निम्नलिखित के निर्माण के लिए:

• Windows Recent Folder

• Microsoft Office Recent Folder

• Jumplists

ध्यान दें कि कुछ LNK फ़ाइल मूल पथ की ओर इशारा करने के बजाय WPDNSE फ़ोल्डर की ओर इशारा करती है:

WPDNSE फ़ोल्डर में फ़ाइलें मूल फ़ाइलों की एक प्रति हैं, इसलिए ये PC के पुनरारंभ होने पर जीवित नहीं रहेंगी और GUID एक shellbag से लिया गया है।

Registry Information

यह पृष्ठ देखें यह जानने के लिए कि कौन से रजिस्ट्री कुंजी USB जुड़े उपकरणों के बारे में दिलचस्प जानकारी रखती हैं।

setupapi

USB कनेक्शन कब उत्पन्न हुआ, इसके टाइमस्टैम्प प्राप्त करने के लिए फ़ाइल C:\Windows\inf\setupapi.dev.log की जांच करें ( Section start के लिए खोजें)।

USB Detective

USBDetective का उपयोग उन USB उपकरणों के बारे में जानकारी प्राप्त करने के लिए किया जा सकता है जो एक छवि से जुड़े हुए हैं।

Plug and Play Cleanup

'Plug and Play Cleanup' के रूप में ज्ञात निर्धारित कार्य मुख्य रूप से पुराने ड्राइवर संस्करणों को हटाने के लिए डिज़ाइन किया गया है। इसके निर्दिष्ट उद्देश्य के विपरीत नवीनतम ड्राइवर पैकेज संस्करण को बनाए रखने के लिए, ऑनलाइन स्रोतों का सुझाव है कि यह 30 दिनों से निष्क्रिय ड्राइवरों को भी लक्षित करता है। परिणामस्वरूप, पिछले 30 दिनों में जुड़े नहीं होने वाले हटाने योग्य उपकरणों के ड्राइवरों को हटाने के अधीन किया जा सकता है।

यह कार्य निम्नलिखित पथ पर स्थित है: C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup.

कार्य के प्रमुख घटक और सेटिंग्स:

• pnpclean.dll: यह DLL वास्तविक सफाई प्रक्रिया के लिए जिम्मेदार है।

• UseUnifiedSchedulingEngine: TRUE पर सेट, सामान्य कार्य शेड्यूलिंग इंजन के उपयोग को इंगित करता है।

• MaintenanceSettings:

• Period ('P1M'): कार्य शेड्यूलर को नियमित स्वचालित रखरखाव के दौरान मासिक सफाई कार्य शुरू करने के लिए निर्देशित करता है।

• Deadline ('P2M'): कार्य शेड्यूलर को निर्देशित करता है, यदि कार्य दो लगातार महीनों के लिए विफल रहता है, तो आपातकालीन स्वचालित रखरखाव के दौरान कार्य को निष्पादित करें।

यह कॉन्फ़िगरेशन नियमित रखरखाव और ड्राइवरों की सफाई सुनिश्चित करता है, लगातार विफलताओं के मामले में कार्य को फिर से प्रयास करने के लिए प्रावधान के साथ।

अधिक जानकारी के लिए देखें: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html

Emails

ईमेल में 2 दिलचस्प भाग होते हैं: ईमेल के हेडर और सामग्री। हेडर में आप जानकारी पा सकते हैं जैसे:

• किसने ईमेल भेजे (ईमेल पता, IP, मेल सर्वर जिन्होंने ईमेल को पुनर्निर्देशित किया)

• कब ईमेल भेजा गया था

इसके अलावा, References और In-Reply-To हेडर के अंदर आप संदेशों की ID पा सकते हैं:

Windows Mail App

यह एप्लिकेशन ईमेल को HTML या टेक्स्ट में सहेजता है। आप ईमेल को \Users\<username>\AppData\Local\Comms\Unistore\data\3\ के अंदर उपफोल्डरों में पा सकते हैं। ईमेल को .dat एक्सटेंशन के साथ सहेजा जाता है।

ईमेल का मेटाडेटा और संपर्क EDB डेटाबेस के अंदर पाया जा सकता है: \Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol

फाइल का एक्सटेंशन .vol से .edb में बदलें और आप इसे खोलने के लिए ESEDatabaseView टूल का उपयोग कर सकते हैं। Message तालिका के अंदर आप ईमेल देख सकते हैं।

Microsoft Outlook

जब एक्सचेंज सर्वर या आउटलुक क्लाइंट का उपयोग किया जाता है, तो कुछ MAPI हेडर होंगे:

• Mapi-Client-Submit-Time: समय जब ईमेल भेजा गया था

• Mapi-Conversation-Index: थ्रेड के बच्चों के संदेशों की संख्या और थ्रेड के प्रत्येक संदेश का टाइमस्टैम्प

• Mapi-Entry-ID: संदेश पहचानकर्ता।

• Mappi-Message-Flags और Pr_last_Verb-Executed: MAPI क्लाइंट के बारे में जानकारी (संदेश पढ़ा? नहीं पढ़ा? उत्तर दिया? पुनर्निर्देशित? कार्यालय से बाहर?)

Microsoft Outlook क्लाइंट में, सभी भेजे गए/प्राप्त संदेश, संपर्क डेटा, और कैलेंडर डेटा PST फ़ाइल में संग्रहीत होते हैं:

• %USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook (WinXP)

• %USERPROFILE%\AppData\Local\Microsoft\Outlook

रजिस्ट्री पथ HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook उस फ़ाइल को इंगित करता है जिसका उपयोग किया जा रहा है।

आप Kernel PST Viewer टूल का उपयोग करके PST फ़ाइल खोल सकते हैं।

Microsoft Outlook OST Files

एक OST फ़ाइल Microsoft Outlook द्वारा उत्पन्न होती है जब इसे IMAP या Exchange सर्वर के साथ कॉन्फ़िगर किया जाता है, जो PST फ़ाइल के समान जानकारी संग्रहीत करती है। यह फ़ाइल सर्वर के साथ समन्वयित होती है, अंतिम 12 महीनों के लिए डेटा बनाए रखती है और 50GB के अधिकतम आकार में होती है, और PST फ़ाइल के समान निर्देशिका में स्थित होती है। OST फ़ाइल देखने के लिए, Kernel OST viewer का उपयोग किया जा सकता है।

Retrieving Attachments

खोई हुई अटैचमेंट्स को पुनर्प्राप्त किया जा सकता है:

• IE10 के लिए: %APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook

• IE11 और ऊपर के लिए: %APPDATA%\Local\Microsoft\InetCache\Content.Outlook

Thunderbird MBOX Files

Thunderbird MBOX फ़ाइलों का उपयोग डेटा संग्रहीत करने के लिए करता है, जो \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles में स्थित होती हैं।

Image Thumbnails

• Windows XP और 8-8.1: थंबनेल के साथ फ़ोल्डर तक पहुँचने पर एक thumbs.db फ़ाइल उत्पन्न होती है जो छवि पूर्वावलोकन संग्रहीत करती है, यहां तक कि हटाने के बाद भी।

• Windows 7/10: thumbs.db तब बनाई जाती है जब UNC पथ के माध्यम से नेटवर्क पर पहुँच की जाती है।

• Windows Vista और नए: थंबनेल पूर्वावलोकन %userprofile%\AppData\Local\Microsoft\Windows\Explorer में केंद्रीकृत होते हैं जिनके फ़ाइलें thumbcache_xxx.db नाम की होती हैं। इन फ़ाइलों को देखने के लिए Thumbsviewer और ThumbCache Viewer टूल हैं।

Windows Registry Information

Windows रजिस्ट्री, जो व्यापक प्रणाली और उपयोगकर्ता गतिविधि डेटा संग्रहीत करती है, निम्नलिखित फ़ाइलों में निहित होती है:

• विभिन्न HKEY_LOCAL_MACHINE उपकुंजी के लिए %windir%\System32\Config।

• HKEY_CURRENT_USER के लिए %UserProfile%{User}\NTUSER.DAT।

• Windows Vista और बाद के संस्करण HKEY_LOCAL_MACHINE रजिस्ट्री फ़ाइलों का बैकअप %Windir%\System32\Config\RegBack\ में करते हैं।

• इसके अतिरिक्त, प्रोग्राम निष्पादन की जानकारी Windows Vista और Windows 2008 Server से आगे %UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT में संग्रहीत होती है।

Tools

कुछ टूल रजिस्ट्री फ़ाइलों का विश्लेषण करने के लिए उपयोगी हैं:

• Registry Editor: यह Windows में स्थापित है। यह वर्तमान सत्र की Windows रजिस्ट्री के माध्यम से नेविगेट करने के लिए एक GUI है।

• Registry Explorer: यह आपको रजिस्ट्री फ़ाइल को लोड करने और GUI के साथ उनके माध्यम से नेविगेट करने की अनुमति देता है। इसमें दिलचस्प जानकारी वाले कुंजी को उजागर करने वाले बुकमार्क भी होते हैं।

• RegRipper: फिर से, इसमें एक GUI है जो लोड की गई रजिस्ट्री के माध्यम से नेविगेट करने की अनुमति देता है और इसमें प्लगइन्स होते हैं जो लोड की गई रजिस्ट्री के अंदर दिलचस्प जानकारी को उजागर करते हैं।

• Windows Registry Recovery: एक और GUI एप्लिकेशन जो लोड की गई रजिस्ट्री से महत्वपूर्ण जानकारी निकालने में सक्षम है।

Recovering Deleted Element

जब एक कुंजी को हटाया जाता है, तो इसे इस तरह से चिह्नित किया जाता है, लेकिन जब तक यह स्थान आवश्यक नहीं होता, तब तक इसे हटाया नहीं जाएगा। इसलिए, Registry Explorer जैसे टूल का उपयोग करके इन हटाई गई कुंजियों को पुनर्प्राप्त करना संभव है।

Last Write Time

प्रत्येक Key-Value में एक टाइमस्टैम्प होता है जो अंतिम बार संशोधित होने का समय इंगित करता है।

SAM

फ़ाइल/हाइव SAM में उपयोगकर्ताओं, समूहों और उपयोगकर्ताओं के पासवर्ड हैश होते हैं।

SAM\Domains\Account\Users में आप उपयोगकर्ता नाम, RID, अंतिम लॉगिन, अंतिम विफल लॉगिन, लॉगिन काउंटर, पासवर्ड नीति और जब खाता बनाया गया था, प्राप्त कर सकते हैं। हैश प्राप्त करने के लिए आपको फ़ाइल/हाइव SYSTEM की भी आवश्यकता है।

Interesting entries in the Windows Registry

Programs Executed

Basic Windows Processes

इस पोस्ट में आप संदिग्ध व्यवहार का पता लगाने के लिए सामान्य Windows प्रक्रियाओं के बारे में जान सकते हैं।

Windows Recent APPs

रजिस्ट्री NTUSER.DAT के अंदर पथ Software\Microsoft\Current Version\Search\RecentApps में आप उपकुंजी पा सकते हैं जिनमें निष्पादित एप्लिकेशन, अंतिम बार इसे निष्पादित किया गया था, और कितनी बार इसे लॉन्च किया गया था।

BAM (Background Activity Moderator)

आप रजिस्ट्री संपादक के साथ SYSTEM फ़ाइल खोल सकते हैं और पथ SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} के अंदर आप प्रत्येक उपयोगकर्ता द्वारा निष्पादित एप्लिकेशन के बारे में जानकारी पा सकते हैं (पथ में {SID} नोट करें) और कब उन्हें निष्पादित किया गया था (समय रजिस्ट्री के डेटा मान के अंदर है)।

Windows Prefetch

Prefetching एक तकनीक है जो एक कंप्यूटर को चुपचाप संसाधनों को लाने की अनुमति देती है जो एक उपयोगकर्ता निकट भविष्य में एक्सेस कर सकता है ताकि संसाधनों को तेजी से एक्सेस किया जा सके।

Windows prefetch में निष्पादित कार्यक्रमों के कैश बनाने की प्रक्रिया होती है ताकि उन्हें तेजी से लोड किया जा सके। ये कैश .pf फ़ाइलों के रूप में निम्नलिखित पथ में बनाए जाते हैं: C:\Windows\Prefetch। XP/VISTA/WIN7 में फ़ाइलों की सीमा 128 है और Win8/Win10 में 1024 फ़ाइलें हैं।

फ़ाइल का नाम {program_name}-{hash}.pf के रूप में बनाया जाता है (हैश पथ और निष्पादनीय के तर्कों पर आधारित होता है)। W10 में ये फ़ाइलें संकुचित होती हैं। ध्यान दें कि फ़ाइल की केवल उपस्थिति यह संकेत देती है कि कार्यक्रम को किसी बिंदु पर निष्पादित किया गया था।

फ़ाइल C:\Windows\Prefetch\Layout.ini में उन फ़ाइलों के फ़ोल्डरों के नाम होते हैं जो प्रीफेच किए गए हैं। इस फ़ाइल में निष्पादन की संख्या, निष्पादन की तिथियाँ और फ़ाइलें खुली होती हैं जो कार्यक्रम द्वारा खोली गई हैं।

इन फ़ाइलों की जांच करने के लिए आप टूल PEcmd.exe का उपयोग कर सकते हैं:

.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"

Superprefetch

Superprefetch का लक्ष्य prefetch के समान है, कार्यक्रमों को तेजी से लोड करना यह अनुमान लगाकर कि अगला क्या लोड होने वाला है। हालाँकि, यह prefetch सेवा का स्थान नहीं लेता। यह सेवा C:\Windows\Prefetch\Ag*.db में डेटाबेस फ़ाइलें उत्पन्न करेगी।

इन डेटाबेस में आप कार्यक्रम का नाम, कार्यवाही की संख्या, खुले फ़ाइलें, एक्सेस किया गया वॉल्यूम, पूर्ण पथ, समय सीमा और टाइमस्टैम्प पा सकते हैं।

आप इस जानकारी को CrowdResponse उपकरण का उपयोग करके एक्सेस कर सकते हैं।

SRUM

System Resource Usage Monitor (SRUM) एक प्रक्रिया द्वारा उपयोग किए गए संसाधनों की निगरानी करता है। यह W8 में प्रकट हुआ और यह डेटा को C:\Windows\System32\sru\SRUDB.dat में ESE डेटाबेस में संग्रहीत करता है।

यह निम्नलिखित जानकारी प्रदान करता है:

• AppID और पथ

• उपयोगकर्ता जिसने प्रक्रिया को निष्पादित किया

• भेजे गए बाइट्स

• प्राप्त बाइट्स

• नेटवर्क इंटरफ़ेस

• कनेक्शन अवधि

• प्रक्रिया अवधि

यह जानकारी हर 60 मिनट में अपडेट होती है।

आप इस फ़ाइल से डेटा प्राप्त करने के लिए srum_dump उपकरण का उपयोग कर सकते हैं।

.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum

AppCompatCache (ShimCache)

The AppCompatCache, जिसे ShimCache के नाम से भी जाना जाता है, Microsoft द्वारा विकसित Application Compatibility Database का एक हिस्सा है जो एप्लिकेशन संगतता समस्याओं को हल करने के लिए है। यह सिस्टम घटक विभिन्न फ़ाइल मेटाडेटा के टुकड़ों को रिकॉर्ड करता है, जिसमें शामिल हैं:

• फ़ाइल का पूरा पथ

• फ़ाइल का आकार

• $Standard_Information (SI) के तहत अंतिम संशोधित समय

• ShimCache का अंतिम अपडेट समय

• प्रक्रिया निष्पादन ध्वज

इस तरह का डेटा ऑपरेटिंग सिस्टम के संस्करण के आधार पर विशिष्ट स्थानों पर रजिस्ट्री में संग्रहीत किया जाता है:

• XP के लिए, डेटा SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache के तहत संग्रहीत किया जाता है जिसमें 96 प्रविष्टियों की क्षमता होती है।

• सर्वर 2003 के लिए, साथ ही Windows के संस्करण 2008, 2012, 2016, 7, 8, और 10 के लिए, संग्रहण पथ SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache है, जो क्रमशः 512 और 1024 प्रविष्टियों को समायोजित करता है।

संग्रहीत जानकारी को पार्स करने के लिए, AppCompatCacheParser टूल का उपयोग करने की सिफारिश की जाती है।

Amcache

Amcache.hve फ़ाइल मूल रूप से एक रजिस्ट्री हाइव है जो सिस्टम पर निष्पादित एप्लिकेशनों के बारे में विवरण लॉग करती है। यह आमतौर पर C:\Windows\AppCompat\Programas\Amcache.hve पर पाई जाती है।

यह फ़ाइल हाल ही में निष्पादित प्रक्रियाओं के रिकॉर्ड को संग्रहीत करने के लिए उल्लेखनीय है, जिसमें निष्पादन योग्य फ़ाइलों के पथ और उनके SHA1 हैश शामिल हैं। यह जानकारी सिस्टम पर एप्लिकेशनों की गतिविधि को ट्रैक करने के लिए अमूल्य है।

Amcache.hve से डेटा निकालने और विश्लेषण करने के लिए, AmcacheParser टूल का उपयोग किया जा सकता है। निम्नलिखित कमांड Amcache.hve फ़ाइल की सामग्री को पार्स करने और परिणामों को CSV प्रारूप में आउटपुट करने के लिए AmcacheParser का उपयोग करने का एक उदाहरण है:

AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder

Among the generated CSV files, the Amcache_Unassociated file entries is particularly noteworthy due to the rich information it provides about unassociated file entries.

The most interesting CVS file generated is the Amcache_Unassociated file entries.

RecentFileCache

यह आर्टिफैक्ट केवल W7 में C:\Windows\AppCompat\Programs\RecentFileCache.bcf में पाया जा सकता है और इसमें कुछ बाइनरी के हालिया निष्पादन के बारे में जानकारी होती है।

आप फ़ाइल को पार्स करने के लिए RecentFileCacheParse टूल का उपयोग कर सकते हैं।

Scheduled tasks

आप इन्हें C:\Windows\Tasks या C:\Windows\System32\Tasks से निकाल सकते हैं और XML के रूप में पढ़ सकते हैं।

Services

आप इन्हें रजिस्ट्री में SYSTEM\ControlSet001\Services के तहत पा सकते हैं। आप देख सकते हैं कि क्या निष्पादित होने वाला है और कब।

Windows Store

स्थापित एप्लिकेशन \ProgramData\Microsoft\Windows\AppRepository\ में पाए जा सकते हैं। इस रिपॉजिटरी में StateRepository-Machine.srd डेटाबेस के अंदर प्रत्येक स्थापित एप्लिकेशन के साथ एक लॉग है।

इस डेटाबेस के एप्लिकेशन तालिका के अंदर, "Application ID", "PackageNumber", और "Display Name" जैसे कॉलम पाए जा सकते हैं। ये कॉलम प्री-इंस्टॉल और स्थापित एप्लिकेशनों के बारे में जानकारी रखते हैं और यह पता लगाया जा सकता है कि क्या कुछ एप्लिकेशन अनइंस्टॉल किए गए थे क्योंकि स्थापित एप्लिकेशनों के IDs अनुक्रमिक होने चाहिए।

आप रजिस्ट्री पथ में भी स्थापित एप्लिकेशन पा सकते हैं: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\ और अनइंस्टॉल एप्लिकेशन में: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\

Windows Events

Windows इवेंट्स के अंदर जो जानकारी दिखाई देती है वह है:

• क्या हुआ

• टाइमस्टैम्प (UTC + 0)

• शामिल उपयोगकर्ता

• शामिल होस्ट (hostname, IP)

• एक्सेस किए गए एसेट्स (फाइलें, फ़ोल्डर, प्रिंटर, सेवाएँ)

लॉग C:\Windows\System32\config में Windows Vista से पहले और C:\Windows\System32\winevt\Logs में Windows Vista के बाद स्थित हैं। Windows Vista से पहले, इवेंट लॉग बाइनरी प्रारूप में थे और इसके बाद, वे XML प्रारूप में हैं और .evtx एक्सटेंशन का उपयोग करते हैं।

इवेंट फ़ाइलों का स्थान SYSTEM रजिस्ट्री में HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security} में पाया जा सकता है।

इन्हें Windows इवेंट व्यूअर (eventvwr.msc) से या अन्य टूल जैसे Event Log Explorer या Evtx Explorer/EvtxECmd** से देखा जा सकता है।**

Understanding Windows Security Event Logging

एक्सेस इवेंट्स सुरक्षा कॉन्फ़िगरेशन फ़ाइल में दर्ज होते हैं जो C:\Windows\System32\winevt\Security.evtx पर स्थित है। इस फ़ाइल का आकार समायोज्य है, और जब इसकी क्षमता पहुँच जाती है, तो पुराने इवेंट्स ओवरराइट हो जाते हैं। दर्ज इवेंट्स में उपयोगकर्ता लॉगिन और लॉगऑफ, उपयोगकर्ता क्रियाएँ, और सुरक्षा सेटिंग्स में परिवर्तन, साथ ही फ़ाइल, फ़ोल्डर, और साझा एसेट्स का एक्सेस शामिल है।

Key Event IDs for User Authentication:

• EventID 4624: संकेत करता है कि एक उपयोगकर्ता सफलतापूर्वक प्रमाणित हुआ।

• EventID 4625: प्रमाणन विफलता का संकेत देता है।

• EventIDs 4634/4647: उपयोगकर्ता लॉगऑफ इवेंट्स का प्रतिनिधित्व करते हैं।

• EventID 4672: प्रशासनिक विशेषाधिकारों के साथ लॉगिन को दर्शाता है।

Sub-types within EventID 4634/4647:

• Interactive (2): प्रत्यक्ष उपयोगकर्ता लॉगिन।

• Network (3): साझा फ़ोल्डरों तक पहुँच।

• Batch (4): बैच प्रक्रियाओं का निष्पादन।

• Service (5): सेवा लॉन्च।

• Proxy (6): प्रॉक्सी प्रमाणन।

• Unlock (7): पासवर्ड के साथ स्क्रीन अनलॉक।

• Network Cleartext (8): स्पष्ट पाठ पासवर्ड ट्रांसमिशन, अक्सर IIS से।

• New Credentials (9): पहुँच के लिए विभिन्न प्रमाणपत्रों का उपयोग।

• Remote Interactive (10): रिमोट डेस्कटॉप या टर्मिनल सेवाओं का लॉगिन।

• Cache Interactive (11): डोमेन कंट्रोलर संपर्क के बिना कैश किए गए प्रमाणपत्रों के साथ लॉगिन।

• Cache Remote Interactive (12): कैश किए गए प्रमाणपत्रों के साथ रिमोट लॉगिन।

• Cached Unlock (13): कैश किए गए प्रमाणपत्रों के साथ अनलॉक करना।

Status and Sub Status Codes for EventID 4625:

• 0xC0000064: उपयोगकर्ता नाम मौजूद नहीं है - यह उपयोगकर्ता नाम enumeration हमले का संकेत दे सकता है।

• 0xC000006A: सही उपयोगकर्ता नाम लेकिन गलत पासवर्ड - संभावित पासवर्ड अनुमान या ब्रूट-फोर्स प्रयास।

• 0xC0000234: उपयोगकर्ता खाता लॉक आउट - कई विफल लॉगिन के परिणामस्वरूप ब्रूट-फोर्स हमले का अनुसरण कर सकता है।

• 0xC0000072: खाता निष्क्रिय - निष्क्रिय खातों तक पहुँच के लिए अनधिकृत प्रयास।

• 0xC000006F: अनुमति समय के बाहर लॉगिन - सेट लॉगिन घंटों के बाहर पहुँच के प्रयासों का संकेत, अनधिकृत पहुँच का संभावित संकेत।

• 0xC0000070: कार्यस्थल प्रतिबंधों का उल्लंघन - अनधिकृत स्थान से लॉगिन का प्रयास हो सकता है।

• 0xC0000193: खाता समाप्ति - समाप्त उपयोगकर्ता खातों के साथ पहुँच के प्रयास।

• 0xC0000071: समाप्त पासवर्ड - पुरानी पासवर्ड के साथ लॉगिन प्रयास।

• 0xC0000133: समय समन्वय मुद्दे - क्लाइंट और सर्वर के बीच बड़े समय के अंतर अधिक जटिल हमलों जैसे पास-दी-टिकट का संकेत दे सकते हैं।

• 0xC0000224: अनिवार्य पासवर्ड परिवर्तन की आवश्यकता - बार-बार अनिवार्य परिवर्तन सुरक्षा को अस्थिर करने के प्रयास का सुझाव दे सकते हैं।

• 0xC0000225: सुरक्षा मुद्दे के बजाय सिस्टम बग का संकेत देता है।

• 0xC000015b: अस्वीकृत लॉगिन प्रकार - अनधिकृत लॉगिन प्रकार के साथ पहुँच का प्रयास, जैसे कि एक उपयोगकर्ता सेवा लॉगिन निष्पादित करने की कोशिश कर रहा है।

EventID 4616:

• Time Change: सिस्टम समय में संशोधन, जो घटनाओं की समयरेखा को अस्पष्ट कर सकता है।

EventID 6005 और 6006:

• System Startup and Shutdown: EventID 6005 सिस्टम के चालू होने का संकेत देता है, जबकि EventID 6006 इसे बंद करने का संकेत देता है।

EventID 1102:

• Log Deletion: सुरक्षा लॉग को साफ करना, जो अक्सर अवैध गतिविधियों को छिपाने के लिए एक लाल झंडा होता है।

EventIDs for USB Device Tracking:

• 20001 / 20003 / 10000: USB डिवाइस का पहला कनेक्शन।

• 10100: USB ड्राइवर अपडेट।

• EventID 112: USB डिवाइस के डालने का समय।

प्रायोगिक उदाहरणों के लिए इन लॉगिन प्रकारों और प्रमाणपत्र डंपिंग के अवसरों को अनुकरण करने के लिए, Altered Security's detailed guide पर जाएं।

इवेंट विवरण, जिसमें स्थिति और उप-स्थिति कोड शामिल हैं, इवेंट के कारणों में और अधिक अंतर्दृष्टि प्रदान करते हैं, विशेष रूप से Event ID 4625 में उल्लेखनीय।

Recovering Windows Events

हटाए गए Windows इवेंट्स को पुनर्प्राप्त करने की संभावनाओं को बढ़ाने के लिए, संदिग्ध कंप्यूटर को सीधे अनप्लग करके बंद करना उचित है। Bulk_extractor, एक पुनर्प्राप्ति उपकरण जो .evtx एक्सटेंशन को निर्दिष्ट करता है, ऐसे इवेंट्स को पुनर्प्राप्त करने के प्रयास के लिए अनुशंसित है।

Identifying Common Attacks via Windows Events

सामान्य साइबर हमलों की पहचान में Windows इवेंट IDs का उपयोग करने के लिए एक व्यापक गाइड के लिए, Red Team Recipe पर जाएं।

Brute Force Attacks

कई EventID 4625 रिकॉर्ड द्वारा पहचाने जाने योग्य, यदि हमला सफल होता है तो इसके बाद एक EventID 4624 होता है।

Time Change

EventID 4616 द्वारा दर्ज, सिस्टम समय में परिवर्तन फोरेंसिक विश्लेषण को जटिल बना सकता है।

USB Device Tracking

USB डिवाइस ट्रैकिंग के लिए उपयोगी सिस्टम EventIDs में प्रारंभिक उपयोग के लिए 20001/20003/10000, ड्राइवर अपडेट के लिए 10100, और DeviceSetupManager से डालने के समय के लिए EventID 112 शामिल हैं।

System Power Events

EventID 6005 सिस्टम के चालू होने का संकेत देता है, जबकि EventID 6006 बंद होने का संकेत देता है।

Log Deletion

सुरक्षा EventID 1102 लॉग के हटाने का संकेत देता है, जो फोरेंसिक विश्लेषण के लिए एक महत्वपूर्ण घटना है।