Windows Artifacts

Artefatti di Windows

Impara l'hacking di AWS da zero a eroe con htARTE (Esperto Red Team AWS di HackTricks)!

Altri modi per supportare HackTricks:

Se vuoi vedere la tua azienda pubblicizzata in HackTricks o scaricare HackTricks in PDF Controlla i PIANI DI ABBONAMENTO!
Ottieni il merchandising ufficiale di PEASS & HackTricks
Scopri La Famiglia PEASS, la nostra collezione di NFT esclusivi
Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
Condividi i tuoi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud repos di github.

Artefatti Generici di Windows

Notifiche di Windows 10

Nel percorso \Users\<username>\AppData\Local\Microsoft\Windows\Notifications puoi trovare il database appdb.dat (prima dell'anniversario di Windows) o wpndatabase.db (dopo l'anniversario di Windows).

All'interno di questo database SQLite, puoi trovare la tabella Notification con tutte le notifiche (in formato XML) che possono contenere dati interessanti.

Timeline

La Timeline è una caratteristica di Windows che fornisce una cronologia cronologica delle pagine web visitate, dei documenti modificati e delle applicazioni eseguite.

Il database risiede nel percorso \Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db. Questo database può essere aperto con uno strumento SQLite o con lo strumento WxTCmd che genera 2 file che possono essere aperti con lo strumento TimeLine Explorer.

ADS (Flussi di Dati Alternativi)

I file scaricati possono contenere la Zona di Flusso di Dati Alternativi (ADS) che indica come è stato scaricato dall'intranet, internet, ecc. Alcuni software (come i browser) di solito inseriscono ancora più informazioni come l'URL da cui è stato scaricato il file.

Backup dei File

Cestino

In Vista/Win7/Win8/Win10 il Cestino si trova nella cartella $Recycle.bin nella radice del drive (C:\$Recycle.bin). Quando un file viene eliminato in questa cartella vengono creati 2 file specifici:

$I{id}: Informazioni sul file (data in cui è stato eliminato)
$R{id}: Contenuto del file

Avendo questi file puoi utilizzare lo strumento Rifiuti per ottenere l'indirizzo originale dei file eliminati e la data in cui sono stati eliminati (usa rifiuti-vista.exe per Vista – Win10).

.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle

Copie delle ombre del volume

Shadow Copy è una tecnologia inclusa in Microsoft Windows che può creare copie di backup o snapshot dei file o volumi del computer, anche quando sono in uso.

Questi backup sono di solito situati in \System Volume Information dalla radice del sistema di file e il nome è composto da UID mostrati nell'immagine seguente:

Montando l'immagine forense con ArsenalImageMounter, lo strumento ShadowCopyView può essere utilizzato per ispezionare una copia delle ombre e persino estrae i file dai backup delle copie delle ombre.

L'ingresso nel registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore contiene i file e le chiavi da non eseguire il backup:

Il registro HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS contiene anche informazioni di configurazione sulle Copie delle ombre del volume.

File di salvataggio automatico di Office

È possibile trovare i file di salvataggio automatico di Office in: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\

Elementi della shell

Un elemento della shell è un elemento che contiene informazioni su come accedere a un altro file.

Documenti recenti (LNK)

Windows crea automaticamente queste scorciatoie quando l'utente apre, utilizza o crea un file in:

Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
Office: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\

Quando viene creato una cartella, viene creata anche una collegamento alla cartella, alla cartella principale e alla cartella nonna.

Questi file di collegamento creati automaticamente contengono informazioni sull'origine come se sia un file o una cartella, orari MAC di quel file, informazioni sul volume di dove è memorizzato il file e cartella del file di destinazione. Queste informazioni possono essere utili per recuperare quei file nel caso in cui siano stati rimossi.

Inoltre, la data di creazione del collegamento è il primo momento in cui il file originale è stato usato per la prima volta e la data modificata del file di collegamento è l'ultimo momento in cui il file di origine è stato utilizzato.

Per ispezionare questi file è possibile utilizzare LinkParser.

In questo strumento troverai 2 set di timestamp:

Primo set:

FileModifiedDate
FileAccessDate
FileCreationDate

Secondo set:

LinkModifiedDate
LinkAccessDate
LinkCreationDate.

Il primo set di timestamp fa riferimento ai timestamp del file stesso. Il secondo set fa riferimento ai timestamp del file collegato.

È possibile ottenere le stesse informazioni eseguendo lo strumento della riga di comando di Windows: LECmd.exe

LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs

Jumplists

Questi sono i file recenti indicati per applicazione. È l'elenco dei file recenti utilizzati da un'applicazione a cui è possibile accedere su ciascuna applicazione. Possono essere creati automaticamente o personalizzati.

I jumplists creati automaticamente sono memorizzati in C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\. I jumplists sono nominati seguendo il formato {id}.autmaticDestinations-ms dove l'ID iniziale è l'ID dell'applicazione.

I jumplists personalizzati sono memorizzati in C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\ e sono creati dall'applicazione di solito perché è successo qualcosa di importante con il file (forse contrassegnato come preferito).

Il tempo di creazione di qualsiasi jumplist indica la prima volta in cui il file è stato accesso e il tempo di modifica l'ultima volta.

È possibile ispezionare i jumplists utilizzando JumplistExplorer.

(Nota che i timestamp forniti da JumplistExplorer sono relativi al file jumplist stesso)

Shellbags

Segui questo link per saperne di più su cosa sono le shellbags.

Utilizzo delle chiavette USB di Windows

È possibile identificare che è stata utilizzata una chiavetta USB grazie alla creazione di:

Cartella Recent di Windows
Cartella Recent di Microsoft Office
Jumplists

Nota che alcuni file LNK invece di puntare al percorso originale, puntano alla cartella WPDNSE:

I file nella cartella WPDNSE sono una copia di quelli originali, quindi non sopravviveranno a un riavvio del PC e il GUID è preso da una shellbag.

Informazioni del Registro di Sistema

Controlla questa pagina per sapere quali chiavi di registro contengono informazioni interessanti sui dispositivi USB collegati.

setupapi

Controlla il file C:\Windows\inf\setupapi.dev.log per ottenere i timestamp su quando è stata prodotta la connessione USB (cerca Section start).

USB Detective

USBDetective può essere utilizzato per ottenere informazioni sui dispositivi USB che sono stati collegati a un'immagine.

Pulizia Plug and Play

Il task pianificato noto come 'Pulizia Plug and Play' è principalmente progettato per la rimozione delle versioni obsolete dei driver. Contrariamente al suo scopo specificato di mantenere la versione più recente del pacchetto driver, fonti online suggeriscono che miri anche ai driver inattivi da 30 giorni. Di conseguenza, i driver per dispositivi rimovibili non collegati negli ultimi 30 giorni potrebbero essere soggetti a cancellazione.

Il task si trova nel seguente percorso: C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup.

Viene fornita un'immagine che mostra il contenuto del task:

Componenti chiave e impostazioni del task:

pnpclean.dll: Questa DLL è responsabile del processo effettivo di pulizia.
UseUnifiedSchedulingEngine: Impostato su TRUE, indicando l'uso del motore di pianificazione delle attività generico.
MaintenanceSettings:
Period ('P1M'): Indirizza il Task Scheduler ad avviare il task di pulizia mensilmente durante la manutenzione automatica regolare.
Deadline ('P2M'): Istruisce il Task Scheduler, se il task fallisce per due mesi consecutivi, ad eseguire il task durante la manutenzione automatica di emergenza.

Questa configurazione garantisce una manutenzione regolare e la pulizia dei driver, con disposizioni per riprovare il task in caso di fallimenti consecutivi.

Per ulteriori informazioni controlla: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html

Email

Le email contengono 2 parti interessanti: gli header e il contenuto dell'email. Negli header è possibile trovare informazioni come:

Chi ha inviato le email (indirizzo email, IP, server di posta che hanno reindirizzato l'email)
Quando è stata inviata l'email

Inoltre, all'interno degli header References e In-Reply-To è possibile trovare l'ID dei messaggi:

App Mail di Windows

Questa applicazione salva le email in HTML o testo. È possibile trovare le email all'interno delle sottocartelle all'interno di \Users\<username>\AppData\Local\Comms\Unistore\data\3\. Le email sono salvate con l'estensione .dat.

I metadati delle email e i contatti possono essere trovati all'interno del database EDB: \Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol

Cambia l'estensione del file da .vol a .edb e puoi utilizzare lo strumento ESEDatabaseView per aprirlo. All'interno della tabella Message è possibile visualizzare le email.

Microsoft Outlook

Quando vengono utilizzati server Exchange o client Outlook ci saranno alcuni header MAPI:

Mapi-Client-Submit-Time: Ora del sistema in cui è stata inviata l'email
Mapi-Conversation-Index: Numero di messaggi figli del thread e timestamp di ciascun messaggio del thread
Mapi-Entry-ID: Identificatore del messaggio.
Mappi-Message-Flags e Pr_last_Verb-Executed: Informazioni sul client MAPI (messaggio letto? non letto? risposto? inoltrato? fuori sede?)

Nel client Microsoft Outlook, tutti i messaggi inviati/ricevuti, i dati dei contatti e i dati del calendario sono memorizzati in un file PST in:

%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook (WinXP)
%USERPROFILE%\AppData\Local\Microsoft\Outlook

Il percorso nel registro HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook indica il file che viene utilizzato.

È possibile aprire il file PST utilizzando lo strumento Kernel PST Viewer.

File OST di Microsoft Outlook

Un file OST è generato da Microsoft Outlook quando è configurato con un server IMAP o Exchange, memorizzando informazioni simili a un file PST. Questo file è sincronizzato con il server, conservando i dati degli ultimi 12 mesi fino a una dimensione massima di 50GB, ed è situato nella stessa directory del file PST. Per visualizzare un file OST, può essere utilizzato il visualizzatore Kernel OST.

Recupero degli Allegati

Gli allegati persi potrebbero essere recuperabili da:

Per IE10: %APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook
Per IE11 e versioni successive: %APPDATA%\Local\Microsoft\InetCache\Content.Outlook

File MBOX di Thunderbird

Thunderbird utilizza file MBOX per memorizzare i dati, situati in \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles.

Miniature delle Immagini

Windows XP e 8-8.1: Accedendo a una cartella con miniature si genera un file thumbs.db che memorizza anteprime delle immagini, anche dopo l'eliminazione.
Windows 7/10: thumbs.db viene creato quando si accede tramite rete tramite percorso UNC.
Windows Vista e versioni successive: Le anteprime delle miniature sono centralizzate in %userprofile%\AppData\Local\Microsoft\Windows\Explorer con file denominati thumbcache_xxx.db. Thumbsviewer e ThumbCache Viewer sono strumenti per visualizzare questi file.

Informazioni nel Registro di Windows

Il Registro di Windows, che memorizza dati estesi sul sistema e sull'attività dell'utente, è contenuto in file in:

%windir%\System32\Config per varie sottochiavi HKEY_LOCAL_MACHINE.
%UserProfile%{User}\NTUSER.DAT per HKEY_CURRENT_USER.
Windows Vista e versioni successive effettuano il backup dei file di registro HKEY_LOCAL_MACHINE in %Windir%\System32\Config\RegBack\.
Inoltre, le informazioni sull'esecuzione dei programmi sono memorizzate in %UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT da Windows Vista e Windows 2008 Server in poi.

Strumenti

Alcuni strumenti sono utili per analizzare i file di registro:

Editor del Registro: È installato in Windows. È un'interfaccia grafica per navigare nel registro di Windows della sessione corrente.
Esploratore del Registro: Consente di caricare il file di registro e navigarvi con un'interfaccia grafica. Contiene anche Segnalibri che evidenziano chiavi con informazioni interessanti.
RegRipper: Ha nuovamente un'interfaccia grafica che consente di navigare nel registro caricato e contiene anche plugin che evidenziano informazioni interessanti all'interno del registro caricato.
Windows Registry Recovery: Un'altra applicazione GUI in grado di estrarre le informazioni importanti dal registro caricato.

Recupero di Elementi Eliminati

Quando una chiave viene eliminata, viene contrassegnata come tale, ma finché lo spazio che occupa non è necessario, non verrà rimossa. Pertanto, utilizzando strumenti come Registry Explorer è possibile recuperare queste chiavi eliminate.

Orario dell'Ultima Modifica

Ogni Chiave-Valore contiene un timestamp che indica l'ultima volta in cui è stata modificata.

SAM

Il file/hive SAM contiene gli hash delle password degli utenti, gruppi e utenti del sistema.

In SAM\Domains\Account\Users è possibile ottenere il nome utente, il RID, l'ultimo accesso, l'ultimo accesso non riuscito, il contatore di accesso, la politica delle password e la data di creazione dell'account. Per ottenere gli hash è necessario anche il file/hive SYSTEM.

Voci Interessanti nel Registro di Windows

pageInteresting Windows Registry Keys

Programmi Eseguiti

Processi di Base di Windows

In questo post è possibile apprendere informazioni sui processi comuni di Windows per rilevare comportamenti sospetti.

App Recenti di Windows

All'interno del registro NTUSER.DAT nel percorso Software\Microsoft\Current Version\Search\RecentApps è possibile trovare sottochiavi con informazioni sull'applicazione eseguita, l'ultima volta in cui è stata eseguita e il numero di volte in cui è stata avviata.

BAM (Moderatore Attività di Background)

È possibile aprire il file SYSTEM con un editor del registro e all'interno del percorso SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} è possibile trovare le informazioni sulle applicazioni eseguite da ciascun utente (nota il {SID} nel percorso) e a che ora sono state eseguite (l'ora è all'interno del valore dei dati del registro).

Prefetch di Windows

Il prefetching è una tecnica che consente a un computer di recuperare silenziosamente le risorse necessarie per visualizzare contenuti a cui un utente potrebbe accedere in futuro in modo che le risorse possano essere accessibili più rapidamente.

Il prefetch di Windows consiste nel creare cache dei programmi eseguiti per poterli caricare più velocemente. Queste cache vengono create come file .pf nel percorso: C:\Windows\Prefetch. Vi è un limite di 128 file in XP/VISTA/WIN7 e 1024 file in Win8/Win10.

Il nome del file è creato come {nome_programma}-{hash}.pf (l'hash si basa sul percorso e sugli argomenti dell'eseguibile). In W10 questi file sono compressi. Si noti che la sola presenza del file indica che il programma è stato eseguito in qualche momento.

Il file C:\Windows\Prefetch\Layout.ini contiene i nomi delle cartelle dei file prefetched. Questo file contiene informazioni sul numero delle esecuzioni, date dell'esecuzione e file aperti dal programma.

Per ispezionare questi file è possibile utilizzare lo strumento PEcmd.exe:

.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"

Superprefetch

Superprefetch ha lo stesso obiettivo del prefetch, caricare i programmi più velocemente prevedendo cosa verrà caricato successivamente. Tuttavia, non sostituisce il servizio prefetch. Questo servizio genererà file di database in C:\Windows\Prefetch\Ag*.db.

In questi database è possibile trovare il nome del programma, il numero di esecuzioni, i file aperti, il volume accessato, il percorso completo, i frame temporali e i timestamp.

È possibile accedere a queste informazioni utilizzando lo strumento CrowdResponse.

SRUM

System Resource Usage Monitor (SRUM) monitora le risorse consumate da un processo. È apparso in W8 e memorizza i dati in un database ESE situato in C:\Windows\System32\sru\SRUDB.dat.

Fornisce le seguenti informazioni:

AppID e Percorso
Utente che ha eseguito il processo
Byte inviati
Byte ricevuti
Interfaccia di rete
Durata della connessione
Durata del processo

Queste informazioni vengono aggiornate ogni 60 minuti.

È possibile ottenere i dati da questo file utilizzando lo strumento srum_dump.

.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum

AppCompatCache (ShimCache)

Il AppCompatCache, noto anche come ShimCache, fa parte del Database di compatibilità delle applicazioni sviluppato da Microsoft per affrontare i problemi di compatibilità delle applicazioni. Questo componente di sistema registra vari metadati dei file, tra cui:

Percorso completo del file
Dimensione del file
Ultima ora di modifica sotto $Standard_Information (SI)
Ultima ora di aggiornamento del ShimCache
Flag di esecuzione del processo

Tali dati sono memorizzati nel registro in posizioni specifiche in base alla versione del sistema operativo:

Per XP, i dati sono memorizzati in SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache con una capacità di 96 voci.
Per Server 2003, così come per le versioni di Windows 2008, 2012, 2016, 7, 8 e 10, il percorso di archiviazione è SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache, con una capacità rispettivamente di 512 e 1024 voci.

Per analizzare le informazioni memorizzate, si consiglia di utilizzare lo strumento AppCompatCacheParser.

Amcache

Il file Amcache.hve è essenzialmente un hive del registro che registra dettagli sulle applicazioni eseguite su un sistema. Di solito si trova in C:\Windows\AppCompat\Programas\Amcache.hve.

Questo file è noto per memorizzare i record dei processi eseguiti di recente, inclusi i percorsi ai file eseguibili e i loro hash SHA1. Queste informazioni sono preziose per tracciare l'attività delle applicazioni su un sistema.

Per estrarre e analizzare i dati da Amcache.hve, si può utilizzare lo strumento AmcacheParser. Il seguente comando è un esempio di come utilizzare AmcacheParser per analizzare i contenuti del file Amcache.hve e produrre i risultati in formato CSV:

AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder

Tra i file CSV generati, il file Voci file non associate di Amcache è particolarmente degno di nota per le ricche informazioni che fornisce sulle voci dei file non associate.

Il file CSV più interessante generato è il Voci file non associate di Amcache.

RecentFileCache

Questo artefatto può essere trovato solo in W7 in C:\Windows\AppCompat\Programs\RecentFileCache.bcf e contiene informazioni sull'esecuzione recente di alcuni binari.

Puoi utilizzare lo strumento RecentFileCacheParse per analizzare il file.

Attività pianificate

Puoi estrarle da C:\Windows\Tasks o C:\Windows\System32\Tasks e leggerle come XML.

Servizi

Puoi trovarli nel registro sotto SYSTEM\ControlSet001\Services. Puoi vedere cosa verrà eseguito e quando.

Windows Store

Le applicazioni installate possono essere trovate in \ProgramData\Microsoft\Windows\AppRepository\ Questo repository ha un log con ogni applicazione installata nel sistema all'interno del database StateRepository-Machine.srd.

All'interno della tabella dell'applicazione di questo database, è possibile trovare le colonne: "ID applicazione", "Numero pacchetto" e "Nome visualizzato". Queste colonne contengono informazioni su applicazioni preinstallate e installate e è possibile verificare se alcune applicazioni sono state disinstallate perché gli ID delle applicazioni installate dovrebbero essere sequenziali.

È inoltre possibile trovare applicazioni installate nel percorso del registro: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\ E applicazioni disinstallate in: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\

Eventi di Windows

Le informazioni che compaiono negli eventi di Windows sono:

Cosa è successo
Timestamp (UTC + 0)
Utenti coinvolti
Host coinvolti (nome host, IP)
Risorse accessate (file, cartelle, stampanti, servizi)

I log sono situati in C:\Windows\System32\config prima di Windows Vista e in C:\Windows\System32\winevt\Logs dopo Windows Vista. Prima di Windows Vista, i log degli eventi erano in formato binario e dopo sono in formato XML e utilizzano l'estensione .evtx.

La posizione dei file degli eventi può essere trovata nel registro di sistema in HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}

Possono essere visualizzati dall'Event Viewer di Windows (eventvwr.msc) o con altri strumenti come Event Log Explorer o Evtx Explorer/EvtxECmd.

Comprensione della registrazione degli eventi di sicurezza di Windows

Gli eventi di accesso vengono registrati nel file di configurazione della sicurezza situato in C:\Windows\System32\winevt\Security.evtx. Le dimensioni di questo file sono regolabili e, quando raggiunge la capacità massima, gli eventi più vecchi vengono sovrascritti. Gli eventi registrati includono accessi e disconnessioni degli utenti, azioni degli utenti e modifiche alle impostazioni di sicurezza, nonché accessi a file, cartelle e risorse condivise.

ID evento chiave per l'autenticazione dell'utente:

ID evento 4624: Indica un'utente autenticato con successo.
ID evento 4625: Segnala un fallimento dell'autenticazione.
ID evento 4634/4647: Rappresentano eventi di disconnessione dell'utente.
ID evento 4672: Indica l'accesso con privilegi amministrativi.

Sottotipi all'interno di ID evento 4634/4647:

Interattivo (2): Accesso diretto dell'utente.
Rete (3): Accesso alle cartelle condivise.
Batch (4): Esecuzione di processi batch.
Servizio (5): Avvio di servizi.
Proxy (6): Autenticazione del proxy.
Sblocco (7): Schermo sbloccato con una password.
Rete in testo normale (8): Trasmissione della password in testo normale, spesso da IIS.
Nuove credenziali (9): Utilizzo di credenziali diverse per l'accesso.
Interattivo remoto (10): Accesso tramite desktop remoto o servizi terminal.
Interattivo nella cache (11): Accesso con credenziali memorizzate senza contatto con il controller di dominio.
Interattivo remoto nella cache (12): Accesso remoto con credenziali memorizzate.
Sblocco memorizzato (13): Sblocco con credenziali memorizzate.

Codici di stato e sottostati per ID evento 4625:

0xC0000064: Il nome utente non esiste - Potrebbe indicare un attacco di enumerazione del nome utente.
0xC000006A: Nome utente corretto ma password errata - Possibile tentativo di indovinare la password o attacco di forza bruta.
0xC0000234: Account utente bloccato - Potrebbe seguire un attacco di forza bruta con molteplici tentativi di accesso falliti.
0xC0000072: Account disabilitato - Tentativi non autorizzati di accedere a account disabilitati.
0xC000006F: Accesso al di fuori dell'orario consentito - Indica tentativi di accesso al di fuori dell'orario di accesso impostato, possibile segno di accesso non autorizzato.
0xC0000070: Violazione delle restrizioni della postazione di lavoro - Potrebbe essere un tentativo di accesso da una posizione non autorizzata.
0xC0000193: Scadenza dell'account - Tentativi di accesso con account utente scaduti.
0xC0000071: Password scaduta - Tentativi di accesso con password obsolete.
0xC0000133: Problemi di sincronizzazione dell'ora - Grandi discrepanze di tempo tra client e server potrebbero essere indicative di attacchi più sofisticati come pass-the-ticket.
0xC0000224: Cambio obbligatorio della password - Cambi frequenti obbligatori potrebbero suggerire un tentativo di destabilizzare la sicurezza dell'account.
0xC0000225: Indica un bug di sistema piuttosto che un problema di sicurezza.
0xC000015b: Tipo di accesso negato - Tentativo di accesso con tipo di accesso non autorizzato, come un utente che cerca di eseguire un accesso al servizio.

ID evento 4616:

Modifica dell'ora: Modifica dell'ora di sistema, potrebbe oscurare la sequenza temporale degli eventi.

ID evento 6005 e 6006:

Avvio e spegnimento del sistema: L'ID evento 6005 indica l'avvio del sistema, mentre l'ID evento 6006 indica lo spegnimento.

ID evento 1102:

Cancellazione del log: I log di sicurezza vengono cancellati, il che è spesso un segnale di copertura di attività illecite.

ID evento per il tracciamento dei dispositivi USB:

20001 / 20003 / 10000: Primo collegamento del dispositivo USB.
10100: Aggiornamento del driver USB.
ID evento 112: Orario di inserimento del dispositivo USB.

Per esempi pratici sulla simulazione di questi tipi di accesso e opportunità di recupero delle credenziali, fare riferimento alla guida dettagliata di Altered Security.

I dettagli degli eventi, inclusi i codici di stato e sottostato, forniscono ulteriori informazioni sulle cause degli eventi, particolarmente rilevanti nell'ID evento 4625.

Recupero degli eventi di Windows

Per aumentare le possibilità di recuperare eventi di Windows eliminati, è consigliabile spegnere il computer sospetto scollegandolo direttamente. Bulk_extractor, uno strumento di recupero che specifica l'estensione .evtx, è consigliato per tentare di recuperare tali eventi.

Identificazione degli attacchi comuni tramite gli eventi di Windows

Per una guida completa sull'utilizzo degli ID evento di Windows per identificare comuni attacchi informatici, visitare Red Team Recipe.

Attacchi di forza bruta

Identificabili da molteplici registrazioni dell'ID evento 4625, seguite da un ID evento 4624 se l'attacco ha successo.

Cambio di ora

Registrato dall'ID evento 4616, i cambiamenti all'ora di sistema possono complicare l'analisi forense.

Tracciamento dei dispositivi USB

Gli utili ID evento di sistema per il tracciamento dei dispositivi USB includono 20001/20003/10000 per l'uso iniziale, 10100 per gli aggiornamenti dei driver e l'ID evento 112 da DeviceSetupManager per i timestamp di inserimento.