Windows Artifacts

Віконні артефакти

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити вашу компанію рекламовану на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв.

Загальні віконні артефакти

Сповіщення Windows 10

У шляху \Users\<username>\AppData\Local\Microsoft\Windows\Notifications ви можете знайти базу даних appdb.dat (до Windows Anniversary) або wpndatabase.db (після Windows Anniversary).

У цій базі даних SQLite ви можете знайти таблицю Notification з усіма сповіщеннями (у форматі XML), які можуть містити цікаві дані.

Хронологія

Хронологія - це характеристика Windows, яка надає хронологічну історію відвіданих веб-сторінок, відредагованих документів та виконаних програм.

База даних знаходиться за шляхом \Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db. Цю базу даних можна відкрити за допомогою інструменту SQLite або інструменту WxTCmd, який генерує 2 файли, які можна відкрити за допомогою інструменту TimeLine Explorer.

ADS (Alternate Data Streams)

Завантажені файли можуть містити ADS Zone.Identifier, що вказує, як він був завантажений з інтранету, Інтернету і т.д. Деяке програмне забезпечення (наприклад, браузери) зазвичай навіть додають більше інформації, наприклад, URL з якого був завантажений файл.

Резервні копії файлів

Кошик

У Vista/Win7/Win8/Win10 Кошик можна знайти у папці $Recycle.bin в корені диска (C:\$Recycle.bin). Коли файл видаляється у цій папці, створюються 2 конкретних файли:

$I{id}: Інформація про файл (дата видалення)
$R{id}: Вміст файлу

Маючи ці файли, ви можете використовувати інструмент Rifiuti, щоб отримати початкову адресу видалених файлів та дату їх видалення (використовуйте rifiuti-vista.exe для Vista – Win10).

.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle

Тіньові копії томів

Тіньова копія - це технологія, включена в Microsoft Windows, яка може створювати резервні копії або знімки файлів або томів комп'ютера, навіть коли вони використовуються.

Ці резервні копії зазвичай розташовані в \System Volume Information від кореня файлової системи, а назва складається з UID, показаних на наступному зображенні:

Підключаючи образ для форензіки за допомогою ArsenalImageMounter, інструмент ShadowCopyView може бути використаний для огляду тіньової копії та навіть екстрагування файлів з резервних копій тіньової копії.

Запис реєстру HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore містить файли та ключі, які необхідно резервувати:

Реєстр HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS також містить інформацію конфігурації про Тіньові копії томів.

Файли автозбереження Office

Ви можете знайти файли автозбереження Office за адресою: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\

Елементи оболонки

Елемент оболонки - це елемент, який містить інформацію про те, як отримати доступ до іншого файлу.

Останні документи (LNK)

Windows автоматично створює ці ярлики, коли користувач відкриває, використовує або створює файл в:

Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
Office: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\

При створенні папки також створюється посилання на папку, на батьківську папку та прабатьківську папку.

Ці автоматично створені файли посилань містять інформацію про походження, наприклад, чи це файл чи папка, часи MAC цього файлу, інформацію про том, де зберігається файл, та папку цільового файлу. Ця інформація може бути корисною для відновлення цих файлів у випадку їх видалення.

Крім того, дата створення посилання - це перший час, коли оригінальний файл був використаний, а дата зміни посилання - останній раз, коли використовувався початковий файл.

Для огляду цих файлів ви можете використовувати LinkParser.

У цих інструментах ви знайдете 2 набори міток часу:

Перший набір:

FileModifiedDate
FileAccessDate
FileCreationDate

Другий набір:

LinkModifiedDate
LinkAccessDate
LinkCreationDate.

Перший набір міток часу посилається на мітки часу самого файлу. Другий набір посилається на мітки часу зв'язаного файлу.

Ви можете отримати ту саму інформацію, запустивши інструмент командного рядка Windows: LECmd.exe

LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs

Jumplists

Це останні файли, які вказані за допомогою кожного додатка. Це список останніх файлів, використаних додатком, до якого ви можете отримати доступ у кожному додатку. Вони можуть бути створені автоматично або бути користувацькими.

Jumplists, створені автоматично, зберігаються в C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\. Jumplists називаються за форматом {id}.autmaticDestinations-ms, де початковий ID - це ID додатка.

Користувацькі jumplists зберігаються в C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\, і їх створює додаток зазвичай через те, що сталося щось важливе з файлом (можливо, відзначено як улюблений).

Час створення будь-якого jumplist вказує на перший раз, коли файл був доступний, а час зміни - останній раз.

Ви можете переглянути jumplists за допомогою JumplistExplorer.

(Зверніть увагу, що відмітки часу, надані JumplistExplorer, стосуються самого файлу jumplist)

Shellbags

Перейдіть за цим посиланням, щоб дізнатися, що таке shellbags.

Використання USB-накопичувачів Windows

Можливо виявити, що USB-пристрій був використаний завдяки створенню:

Папки Останні вікна
Папки Останні Microsoft Office
Jumplists

Зверніть увагу, що деякі файли LNK, замість посилання на оригінальний шлях, посилаються на папку WPDNSE:

Файли в папці WPDNSE є копією оригінальних файлів, тому вони не виживуть після перезавантаження ПК, а GUID береться з shellbag.

Інформація реєстру

Перевірте цю сторінку, щоб дізнатися, які ключі реєстру містять цікаву інформацію про підключені USB-пристрої.

setupapi

Перевірте файл C:\Windows\inf\setupapi.dev.log, щоб отримати відмітки часу про те, коли було встановлено підключення USB (шукайте Section start).

USB Detective

USBDetective може бути використаний для отримання інформації про USB-пристрої, які були підключені до зображення.

Плагін та грати очищення

Заплановане завдання, відоме як 'Plug and Play Cleanup', призначене в основному для видалення застарілих версій драйверів. На відміну від вказаної мети збереження останньої версії пакету драйверів, онлайн-джерела вказують, що воно також спрямоване на драйвери, які були неактивними протягом 30 днів. Відповідно, драйвери для знімних пристроїв, які не підключалися протягом останніх 30 днів, можуть бути видалені.

Завдання розташоване за наступним шляхом: C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup.

Надається знімок екрана, що показує вміст завдання:

Основні компоненти та налаштування завдання:

pnpclean.dll: Ця DLL відповідає за фактичний процес очищення.
UseUnifiedSchedulingEngine: Встановлено на TRUE, що вказує на використання загального розкладування завдань.
MaintenanceSettings:
Період ('P1M'): Направляє Планувальник завдань ініціювати завдання очищення щомісяця під час регулярного автоматичного обслуговування.
Крайній термін ('P2M'): Інструкція для Планувальника завдань, якщо завдання не вдалося протягом двох послідовних місяців, виконати завдання під час аварійного автоматичного обслуговування.

Ця конфігурація забезпечує регулярне обслуговування та очищення драйверів, з можливістю повторної спроби завдання у разі послідовних невдач.

Для отримання додаткової інформації перегляньте: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html

Електронні листи

Електронні листи містять 2 цікаві частини: заголовки та вміст листа. У заголовках можна знайти інформацію, таку як:

Хто відправив листи (адреса електронної пошти, IP, поштові сервери, які перенаправили лист)
Коли було відправлено лист

Також, у заголовках References та In-Reply-To можна знайти ID повідомлень:

Приклад програми пошти Windows

Ця програма зберігає листи у форматі HTML або тексту. Ви можете знайти листи у підпапках у \Users\<username>\AppData\Local\Comms\Unistore\data\3\. Листи зберігаються з розширенням .dat.

Метадані листів та контакти можна знайти у базі даних EDB: \Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol

Змініть розширення файлу з .vol на .edb, і ви можете використовувати інструмент ESEDatabaseView, щоб відкрити його. У таблиці Message ви можете побачити листи.

Microsoft Outlook

Коли використовуються сервери Exchange або клієнти Outlook, будуть деякі заголовки MAPI:

Mapi-Client-Submit-Time: Час системи, коли було відправлено лист
Mapi-Conversation-Index: Кількість дочірніх повідомлень потоку та час кожного повідомлення потоку
Mapi-Entry-ID: Ідентифікатор повідомлення.
Mappi-Message-Flags та Pr_last_Verb-Executed: Інформація про клієнта MAPI (повідомлення прочитано? не прочитано? відповіли? перенаправлено? поза офісом?)

У клієнті Microsoft Outlook всі відправлені/отримані повідомлення, дані контактів та календарні дані зберігаються в файлі PST у:

%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook (WinXP)
%USERPROFILE%\AppData\Local\Microsoft\Outlook

Шлях реєстру HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook вказує на використаний файл.

Ви можете відкрити файл PST за допомогою інструменту Kernel PST Viewer.

Файли OST Microsoft Outlook

Файл OST генерується Microsoft Outlook, коли він налаштований з IMAP або сервером Exchange, зберігаючи подібну інформацію до файлу PST. Цей файл синхронізується з сервером, зберігаючи дані за останні 12 місяців до максимального розміру 50 ГБ, і розташований в тій же теки, що і файл PST. Для перегляду файлу OST можна використовувати Kernel OST viewer.

Отримання вкладень

Втрачені вкладення можна відновити з:

Для IE10: %APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook
Для IE11 та вище: %APPDATA%\Local\Microsoft\InetCache\Content.Outlook

Файли MBOX Thunderbird

Thunderbird використовує файли MBOX для зберігання даних, розташованих в \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles.

Мініатюри зображень

Windows XP та 8-8.1: Доступ до теки з мініатюрами генерує файл thumbs.db, який зберігає попередні перегляди зображень, навіть після видалення.
Windows 7/10: thumbs.db створюється при доступі через мережу за допомогою шляху UNC.
Windows Vista та новіші: Попередні перегляди мініатюр централізовані в %userprofile%\AppData\Local\Microsoft\Windows\Explorer з файлами з назвою thumbcache_xxx.db. Thumbsviewer та ThumbCache Viewer - це інструменти для перегляду цих файлів.

Інформація з реєстру Windows

Реєстр Windows, що зберігає обширні дані про систему та активність користувача, міститься в файлах:

%windir%\System32\Config для різних підключів HKEY_LOCAL_MACHINE.
%UserProfile%{User}\NTUSER.DAT для HKEY_CURRENT_USER.
Починаючи з Windows Vista та новіших версій, файли реєстру HKEY_LOCAL_MACHINE резервуються в %Windir%\System32\Config\RegBack\.
Крім того, інформація про виконання програм зберігається в %UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT починаючи з Windows Vista та Windows 2008 Server.

Інструменти

Деякі інструменти корисні для аналізу файлів реєстру:

Редактор реєстру: Встановлений в Windows. Це графічний інтерфейс для навігації через реєстр Windows поточної сесії.
Registry Explorer: Дозволяє завантажити файл реєстру та навігувати через них за допомогою графічного інтерфейсу. Також містить закладки, які підсвічують ключі з цікавою інформацією.
RegRipper: Знову, має графічний інтерфейс, який дозволяє навігувати через завантажений реєстр та містить плагіни, які підсвічують цікаву інформацію всередині завантаженого реєстру.
Windows Registry Recovery: Інша GUI-програма, яка може видобувати важливу інформацію з завантаженого реєстру.

Відновлення видаленого елементу

Коли ключ видаляється, він позначається як такий, але до тих пір, поки простір, який він займає, не буде потрібний, він не буде видалений. Тому, використовуючи інструменти, такі як Registry Explorer, можливо відновити ці видалені ключі.

Час останньої зміни

Кожен ключ-значення містить відмітку часу, що вказує на останній раз, коли він був змінений.

SAM

Файл/гілка SAM містить хеші паролів користувачів, груп та користувачів системи.

У SAM\Domains\Account\Users можна отримати ім'я користувача, RID, останній вхід, останній невдалий вхід, лічильник входів, політику паролю та дату створення облікового запису. Для отримання хешів також потрібен файл/гілка SYSTEM.

Цікаві записи в реєстрі Windows

pageInteresting Windows Registry Keys

Виконані програми

Основні процеси Windows

У цьому пості ви можете дізнатися про загальні процеси Windows для виявлення підозрілих поведінок.

Останні програми Windows

У реєстрі NTUSER.DAT за шляхом Software\Microsoft\Current Version\Search\RecentApps можна знайти підключі з інформацією про виконану програму, останній час її виконання та кількість разів, коли вона була запущена.

BAM (Модератор фонової активності)

Ви можете відкрити файл SYSTEM за допомогою редактора реєстру та в шляху SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} знайти інформацію про програми, виконані кожним користувачем (зверніть увагу на {SID} в шляху) та час їх виконання (час знаходиться у значенні даних реєстру).

Windows Prefetch

Попереднє завантаження - це техніка, яка дозволяє комп'ютеру тихо завантажувати необхідні ресурси для відображення вмісту, до якого користувач може звернутися у найближчому майбутньому, щоб ресурси можна було отримати швидше.

Windows Prefetch полягає в створенні кешів виконаних програм, щоб мати можливість завантажувати їх швидше. Ці кеші створюються у вигляді файлів .pf за шляхом: C:\Windows\Prefetch. Є обмеження на 128 файлів у XP/VISTA/WIN7 та 1024 файлів у Win8/Win10.

Ім'я файлу створюється як {program_name}-{hash}.pf (хеш базується на шляху та аргументах виконуваного файлу). У W10 ці файли стиснуті. Зверніть увагу, що саме наявність файлу вказує на те, що програма була виконана у певний момент.

Файл C:\Windows\Prefetch\Layout.ini містить назви тек файлів, які попередньо завантажувалися. Цей файл містить інформацію про кількість виконань, дати виконання та файли, відкриті програмою.

Для перегляду цих файлів можна використовувати інструмент PEcmd.exe:

.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"

Суперпередзавантаження

Суперпередзавантаження має той самий мета, що і передзавантаження, завантажує програми швидше, передбачаючи, що буде завантажено наступним. Однак воно не заміщує службу передзавантаження. Ця служба буде генерувати базові файли в C:\Windows\Prefetch\Ag*.db.

У цих базах даних ви можете знайти ім'я програми, кількість виконань, відкриті файли, обсяг доступу, повний шлях, проміжки часу та відмітки часу.

Ви можете отримати доступ до цієї інформації за допомогою інструменту CrowdResponse.

SRUM

Монітор використання системних ресурсів (SRUM) відстежує ресурси, використані процесом. Він з'явився в W8 і зберігає дані в базі даних ESE, розташованій в C:\Windows\System32\sru\SRUDB.dat.

Він надає наступну інформацію:

Ідентифікатор додатку та шлях
Користувач, який виконав процес
Відправлені байти
Отримані байти
Мережевий інтерфейс
Тривалість підключення
Тривалість процесу

Ця інформація оновлюється кожні 60 хвилин.

Ви можете отримати дані з цього файлу за допомогою інструменту srum_dump.

.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum

AppCompatCache (ShimCache)

AppCompatCache, також відомий як ShimCache, є частиною Бази даних сумісності програм, розробленої Microsoft для вирішення проблем сумісності програм. Цей компонент системи записує різні частини метаданих файлів, до яких входять:

Повний шлях до файлу
Розмір файлу
Час останньої модифікації у $Standard_Information (SI)
Час останнього оновлення ShimCache
Прапорець виконання процесу

Такі дані зберігаються в реєстрі за конкретними місцями в залежності від версії операційної системи:

Для XP дані зберігаються в SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache з можливістю 96 записів.
Для Server 2003, а також для версій Windows 2008, 2012, 2016, 7, 8 та 10, шлях зберігання - SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache, з розміщенням відповідно 512 та 1024 записів.

Для аналізу збереженої інформації рекомендується використовувати інструмент AppCompatCacheParser.

Amcache

Файл Amcache.hve суттєво є реєстром, який реєструє деталі про програми, які були виконані на системі. Зазвичай він знаходиться за адресою C:\Windows\AppCompat\Programas\Amcache.hve.

Цей файл відомий тим, що зберігає записи останніх виконаних процесів, включаючи шляхи до виконавчих файлів та їх хеші SHA1. Ця інформація є надзвичайно важливою для відстеження діяльності програм на системі.

Для вилучення та аналізу даних з Amcache.hve можна використовувати інструмент AmcacheParser. Наведена нижче команда є прикладом використання AmcacheParser для аналізу вмісту файлу Amcache.hve та виведення результатів у форматі CSV:

AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder

Серед згенерованих файлів CSV особливу увагу слід звернути на Amcache_Unassociated file entries через багату інформацію, яку він надає про не пов'язані файлові записи.

Найцікавіший файл CVS, який генерується, - це Amcache_Unassociated file entries.

RecentFileCache

Цей артефакт можна знайти лише в W7 за адресою C:\Windows\AppCompat\Programs\RecentFileCache.bcf і містить інформацію про останнє виконання деяких бінарних файлів.

Ви можете використовувати інструмент RecentFileCacheParse для аналізу файлу.

Заплановані завдання

Ви можете витягти їх з C:\Windows\Tasks або C:\Windows\System32\Tasks і читати їх у форматі XML.

Служби

Ви можете знайти їх у реєстрі за адресою SYSTEM\ControlSet001\Services. Ви можете побачити, що буде виконано і коли.

Windows Store

Встановлені програми можна знайти в \ProgramData\Microsoft\Windows\AppRepository\ У цьому репозиторії є журнал з кожною встановленою програмою в системі всередині бази даних StateRepository-Machine.srd.

У таблиці Application цієї бази даних можна знайти стовпці: "Ідентифікатор програми", "Номер пакету" та "Назва відображення". Ці стовпці містять інформацію про передвстановлені та встановлені програми, і можна визначити, чи були деякі програми видалені, оскільки ідентифікатори встановлених програм повинні бути послідовними.

Також можна знайти встановлену програму за шляхом реєстру: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\ І видалені програми в: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\

Події Windows

Інформація, яка з'являється в подіях Windows:

Що сталося
Мітка часу (UTC + 0)
Залучені користувачі
Залучені хости (ім'я хоста, IP)
Активи, до яких зверталися (файли, теки, принтери, служби)

Журнали знаходяться в C:\Windows\System32\config до Windows Vista і в C:\Windows\System32\winevt\Logs після Windows Vista. До Windows Vista журнали подій були у бінарному форматі, а після них вони у форматі XML та використовують розширення .evtx.

Місце розташування файлів подій можна знайти в реєстрі SYSTEM за адресою HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}

Їх можна візуалізувати з Windows Event Viewer (eventvwr.msc) або іншими інструментами, такими як Event Log Explorer або Evtx Explorer/EvtxECmd.

Розуміння журналювання подій безпеки Windows

Події доступу записуються у файл конфігурації безпеки, розташований за адресою C:\Windows\System32\winevt\Security.evtx. Розмір цього файлу можна налаштувати, і коли досягнуто його межі, старі події перезаписуються. Записані події включають вхід та вихід користувачів, дії користувачів та зміни налаштувань безпеки, а також доступ до файлів, тек та спільних активів.

Ключові ідентифікатори подій для аутентифікації користувача:

EventID 4624: Вказує на успішну аутентифікацію користувача.
EventID 4625: Сигналізує про невдачу аутентифікації.
EventIDs 4634/4647: Представляють події виходу користувача з системи.
EventID 4672: Позначає вхід з адміністративними привілеями.

Підтипи в межах EventID 4634/4647:

Інтерактивний (2): Прямий вхід користувача.
Мережевий (3): Доступ до спільних тек.
Пакетний (4): Виконання пакетних процесів.
Службовий (5): Запуск служб.
Проксі (6): Аутентифікація проксі.
Розблокування (7): Розблокування екрану за допомогою пароля.
Мережевий текст (8): Передача пароля у відкритому тексті, часто з IIS.
Нові облікові дані (9): Використання інших облікових даних для доступу.
Віддалений інтерактивний (10): Віддалений вхід через робочий стіл або служби терміналів.
Кешовий інтерактивний (11): Вхід з кешовими обліковими даними без звертання до контролера домену.
Кешовий віддалений інтерактивний (12): Віддалений вхід з кешовими обліковими даними.
Кешове розблокування (13): Розблокування з кешовими обліковими даними.

Коди статусу та підкоди статусу для EventID 4625:

0xC0000064: Ім'я користувача не існує - Може вказувати на атаку переліку імен користувачів.
0xC000006A: Правильне ім'я користувача, але неправильний пароль - Можлива спроба вгадування або перебору пароля.
0xC0000234: Обліковий запис користувача заблоковано - Може виникнути після атаки перебору з багатьма невдалими входами.
0xC0000072: Обліковий запис вимкнено - Несанкціоновані спроби доступу до вимкнених облікових записів.
0xC000006F: Вхід поза дозволеним часом - Вказує на спроби доступу поза встановленими годинами входу, можливий ознака несанкціонованого доступу.
0xC0000070: Порушення обмежень робочої станції - Може бути спробою входу з недозволеного місця.
0xC0000193: Термін дії облікового запису закінчився - Спроби доступу зі збіглими термінами дії облікових записів.
0xC0000071: Закінчився термін дії пароля - Спроби входу з застарілими паролями.
0xC0000133: Проблеми синхронізації часу - Великі розбіжності часу між клієнтом та сервером можуть свідчити про більш складні атаки, такі як передача квитка.
0xC0000224: Обов'язкова зміна пароля - Часті обов'язкові зміни можуть свідчити про спробу підірвати безпеку облікового запису.
0xC0000225: Вказує на помилку системи, а не на проблему безпеки.
0xC000015b: Відмова від типу входу - Спроба доступу з недозволеним типом входу, наприклад, користувач, який намагається виконати вхід служби.

EventID 4616:

Зміна часу: Зміна системного часу, може ускладнити аналіз подій.

EventID 6005 та 6006:

Запуск та вимкнення системи: EventID 6005 вказує на запуск системи, а EventID 6006 позначає її вимкнення.

EventID 1102:

Видалення журналу: Очищення журналів безпеки, що часто є сигналом приховування злочинних дій.

EventIDs для відстеження USB-пристроїв:

20001 / 20003 / 10000: Перше підключення USB-пристрою.
10100: Оновлення драйвера USB.
EventID 112: Час вставлення USB-пристрою.

Для практичних прикладів симуляції цих типів входу та можливостей витягування облікових даних див. докладний посібник Altered Security.

Деталі подій, включаючи коди статусу та підкоди статусу, надають додаткові відомості про причини подій, особливо помітні в Event ID 4625.

Відновлення подій Windows

Для підвищення шансів відновлення видалених подій Windows рекомендується вимкнути підозрілий комп'ютер, відключивши його безпосередньо. Рекомендовано використовувати інструмент відновлення Bulk_extractor, який вказує розширення .evtx, для спроби відновлення таких подій.

Виявлення загальних атак через події Windows

Для докладного посібника з використанням ідентифікаторів подій Windows для виявлення загальних кібератак відвідайте Red Team Recipe.

Атаки методом перебору

Визначаються за декількома записами EventID 4625, за якими слідує EventID 4624 у разі успіху атаки.

Зміна часу

Фіксується за допомогою EventID 4616, зміни системного часу можуть ускладнити судово-експертний аналіз.

Відстеження USB-пристроїв

Корисні System EventIDs для відстеження USB-пристроїв включають 20001/20003/10000 для початкового використання, 10100 для оновлення драйверів та EventID 112 від DeviceSetupManager для відміток часу вставлення.