| .. | ||
| interesting-windows-registry-keys.md | ||
| README.md | ||
| windows-processes.md | ||
Windows आर्टिफैक्ट्स
Windows आर्टिफैक्ट्स
{% hint style="success" %}
AWS हैकिंग सीखें और प्रैक्टिस करें: 
HackTricks प्रशिक्षण AWS रेड टीम एक्सपर्ट (ARTE)
GCP हैकिंग सीखें और प्रैक्टिस करें: 
HackTricks प्रशिक्षण GCP रेड टीम एक्सपर्ट (GRTE)
HackTricks का समर्थन करें
- सदस्यता योजनाएं की जाँच करें!
- शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह और ट्विटर 🐦 पर हमें फॉलो करें @hacktricks_live](https://twitter.com/hacktricks_live)**.
- हैकिंग ट्रिक्स साझा करें, HackTricks और HackTricks Cloud github रेपो में PR जमा करके.
{% embed url="https://websec.nl/" %}
सामान्य Windows आर्टिफैक्ट्स
Windows 10 सूचनाएँ
पथ \Users\<username>\AppData\Local\Microsoft\Windows\Notifications में आपको डेटाबेस appdb.dat (Windows anniversary से पहले) या wpndatabase.db (Windows Anniversary के बाद) मिल सकता है।
इस SQLite डेटाबेस में, आप Notification तालिका पा सकते हैं जिसमें सभी सूचनाएँ (XML प्रारूप में) हो सकती हैं जो दिलचस्प डेटा शामिल कर सकती हैं।
टाइमलाइन
टाइमलाइन एक Windows विशेषता है जो वेब पेजों के दौरे, संपादित दस्तावेज़ और चलाए गए एप्लिकेशनों का कालांतरिक इतिहास प्रदान करता है।
डेटाबेस पथ \Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db में स्थित है। इस डेटाबेस को एक SQLite उपकरण के साथ खोला जा सकता है या उपकरण WxTCmd के साथ जो 2 फ़ाइलें उत्पन्न करता है जो उपकरण TimeLine Explorer के साथ खोली जा सकती हैं।
ADS (वैकल्पिक डेटा स्ट्रीम्स)
डाउनलोड की गई फ़ाइलें ADS Zone.Identifier शामिल कर सकती हैं जो इसे इंट्रानेट, इंटरनेट से कैसे डाउनलोड किया गया था का संकेत देता है। कुछ सॉफ़्टवेयर (जैसे ब्राउज़र) आम तौर पर फ़ाइल को डाउनलोड किये गए URL जैसी अधिक जानकारी भी डालते हैं।
फ़ाइल बैकअप्स
रीसाइकल बिन
Vista/Win7/Win8/Win10 में रीसाइकल बिन को ड्राइव की रूट में फ़ोल्डर $Recycle.bin में पाया जा सकता है (C:\$Recycle.bin)।
जब इस फ़ोल्डर में एक फ़ाइल हटाई जाती है तो 2 विशिष्ट फ़ाइलें बनाई जाती हैं:
$I{id}: फ़ाइल की जानकारी (जब यह हटाई गई थी की तारीख}$R{id}: फ़ाइल की सामग्री
इन फ़ाइलों के साथ आप उपकरण Rifiuti का उपयोग करके हटाई गई फ़ाइलों का मूल पता और हटाई गई तारीख प्राप्त कर सकते हैं (Vista - Win10 के लिए rifiuti-vista.exe का उपयोग करें)।
.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle
वॉल्यूम शैडो कॉपी
शैडो कॉपी एक तकनीक है जो माइक्रोसॉफ्ट विंडोज में शामिल है जो कंप्यूटर फ़ाइल या वॉल्यूम की बैकअप कॉपी या स्नैपशॉट बना सकती है, भले ही वे उपयोग में हों।
ये बैकअप्स आम तौर पर \System Volume Information में रूट फ़ाइल सिस्टम से स्थित होते हैं और उनका नाम निम्नलिखित छवि में दिखाए गए UIDs से मिलकर बनता है:
ArsenalImageMounter के साथ फोरेंसिक्स इमेज को माउंट करके, उपकरण ShadowCopyView का उपयोग एक शैडो कॉपी की जांच करने और शैडो कॉपी बैकअप से फ़ाइलें निकालने के लिए किया जा सकता है।
रजिस्ट्री एंट्री HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore फ़ाइलें और कुंजियों को शामिल करती है जिन्हें बैकअप न करना है:
रजिस्ट्री HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS में भी वॉल्यूम शैडो कॉपी के बारे में विन्यास सूचना होती है।
ऑफिस ऑटोसेव्ड फ़ाइलें
आप ऑफिस ऑटोसेव्ड फ़ाइलें यहाँ पा सकते हैं: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\
शैल आइटम्स
एक शैल आइटम एक आइटम है जो दूसरी फ़ाइल तक पहुँचने के बारे में जानकारी रखता है।
हाल की दस्तावेज़ (LNK)
विंडोज स्वचालित रूप से ये शॉर्टकट बनाता है जब उपयोगकर्ता फ़ाइल खोलता है, उपयोग करता है या बनाता है:
- Win7-Win10:
C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\ - Office:
C:\Users\\AppData\Roaming\Microsoft\Office\Recent\
जब एक फ़ोल्डर बनाया जाता है, तो एक लिंक फ़ाइल बनाई जाती है, जिसमें फ़ोल्डर, माता-पिता फ़ोल्डर और परदादी फ़ोल्डर का लिंक शामिल होता है।
ये स्वचालित रूप से बनाए गए लिंक फ़ाइलें मूल के बारे में जानकारी शामिल करती हैं जैसे कि यह कोई फ़ाइल है या एक फ़ोल्डर, उस फ़ाइल के MAC समय, जहाँ फ़ाइल संग्रहित है और लक्षित फ़ाइल का फ़ोल्डर। यह जानकारी उन फ़ाइलों को पुनः प्राप्त करने में सहायक हो सकती है जो हटा दी गई थीं।
इसके अलावा, लिंक फ़ाइल का निर्माण तिथि वह समय है जब मूल फ़ाइल का पहली बार उपयोग किया गया था और लिंक फ़ाइल का संशोधित तिथि वह समय है जब मूल फ़ाइल का अंतिम बार उपयोग किया गया था।
इन फ़ाइलों की जांच करने के लिए आप LinkParser का उपयोग कर सकते हैं।
इस उपकरण में आपको 2 सेट के टाइमस्टैम्प मिलेंगे:
- पहला सेट:
- फ़ाइल संशोधित तिथि
- फ़ाइल एक्सेस तिथि
- फ़ाइल निर्माण तिथि
- दूसरा सेट:
- लिंक संशोधित तिथि
- लिंक एक्सेस तिथि
- लिंक निर्माण तिथि।
पहले सेट का टाइमस्टैम्प फ़ाइल इसल्फ के टाइमस्टैम्प्स को संदर्भित करता है। दूसरा सेट लिंक फ़ाइल के टाइमस्टैम्प्स को संदर्भित करता है।
आप विंडोज CLI उपकरण चलाकर इसी जानकारी को प्राप्त कर सकते हैं: LECmd.exe
LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs
जम्पलिस्ट्स
ये हाल के फ़ाइलें हैं जो प्रति एप्लिकेशन द्वारा दर्शाई जाती हैं। यह एक एप्लिकेशन द्वारा उपयोग की गई हाल की फ़ाइलों की सूची है जिसे आप प्रत्येक एप्लिकेशन पर एक्सेस कर सकते हैं। ये स्वचालित रूप से बनाई जाती हैं या कस्टम हो सकती हैं।
स्वचालित रूप से बनाए गए जम्पलिस्ट्स C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\ में संग्रहित होते हैं। जम्पलिस्ट्स का नाम {id}.autmaticDestinations-ms नामक प्रारूप का होता है जहाँ प्रारंभिक आईडी एप्लिकेशन का आईडी होता है।
कस्टम जम्पलिस्ट्स C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\ में संग्रहित होती हैं और उन्हें एप्लिकेशन द्वारा सामान्यत: इसलिए बनाया जाता है क्योंकि कुछ महत्वपूर्ण घटना फ़ाइल के साथ हुई है (शायद पसंदीदा के रूप में चिह्नित किया गया हो)
किसी भी जम्पलिस्ट का निर्माण समय दर्शाता है फ़ाइल तक पहुँचने का पहला समय और संशोधित समय अंतिम बार।
आप JumplistExplorer का उपयोग करके जम्पलिस्ट्स की जांच कर सकते हैं।
(कृपया ध्यान दें कि JumplistExplorer द्वारा प्रदान की गई समय चिह्नित किए गए वक्त संबंधित होते हैं)
शेलबैग्स
इस लिंक पर जानें कि शेलबैग्स क्या हैं।
Windows USB का उपयोग
एक USB डिवाइस का उपयोग किया गया था यह पहचानना संभव है धन्यवाद है:
- Windows हाल की फ़ोल्डर
- Microsoft Office हाल की फ़ोल्डर
- जम्पलिस्ट्स
ध्यान दें कि कुछ LNK फ़ाइल मूल पथ की बजाय, WPDNSE फ़ोल्डर को पॉइंट करती हैं:
फ़ोल्डर WPDNSE में फ़ाइलें मूल वालों की प्रतिलिपि होती हैं, फिर वे PC की पुनरारंभी नहीं होंगी और GUID एक शेलबैग से लिया गया है।
रजिस्ट्री सूचना
जानने के लिए इस पेज की जाँच करें कि कौन सी रजिस्ट्री कुंजीयाँ USB कनेक्टेड डिवाइस के बारे में दिलचस्प सूचना रखती हैं।
setupapi
USB कनेक्शन किया गया था कब हुआ यह जानने के लिए फ़ाइल C:\Windows\inf\setupapi.dev.log की जाँच करें (खोज करें Section start).
USB डिटेक्टिव
USBDetective का उपयोग एक छवि में कनेक्ट किए गए USB डिवाइस के बारे में जानकारी प्राप्त करने के लिए किया जा सकता है।
प्लग और प्ले सफाई
'प्लग और प्ले सफाई' नामक निर्धारित कार्य कारीय अपडेटेड ड्राइवर संस्करणों को हटाने के लिए प्रधान रूप से डिज़ाइन किया गया है। इसके निर्दिष्ट उद्देश्य के विपरीत, ऑनलाइन स्रोत सुझाव देते हैं कि यह 30 दिनों के लिए निष्क्रिय रहे ड्राइवर्स को भी लक्षित करता है। इसके परिणामस्वरूप, पिछले 30 दिनों में कनेक्ट नहीं किए गए हटाए जा सकते हैं।
कार्य का स्थान निम्नलिखित पथ पर है:
C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup.
कार्य की सामग्री का चित्र प्रदान किया गया है:
कार्य के मुख्य घटक और सेटिंग्स:
- pnpclean.dll: यह DLL वास्तविक सफाई प्रक्रिया के लिए जिम्मेदार है।
- UseUnifiedSchedulingEngine:
TRUEपर सेट किया गया है, जो सामान्य कार्य निर्धारण इंजन का उपयोग करने की संकेत करता है। - MaintenanceSettings:
- अवधि ('P1M'): कार्य सूचीकरणकर्ता को नियमित ऑटोमैटिक रखरखाव के दौरान मासिक सफाई कार्य आरंभ करने के लिए निर्देशित करता है।
- समयसीमा ('P2M'): यदि कार्य दो लगातार महीनों के लिए विफल हो जाता है, तो टास्क स्केड्यूलर को आपात सफाई कार्य करने के लिए निर्देशित करता है।
यह विन्यास ड्राइवरों की नियमित रखरखाव और सफाई सुनिश्चित करता है, जो लगातार विफलताओं के मामले में कार्य को पुनः प्रयास करने के लिए प्रावधान करता है।
अधिक जानकारी के लिए देखें: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html
ईमेल
ईमेल में 2 दिलचस्प हिस्से होते हैं: हेडर्स और सामग्री। हेडर्स में आप जानकारी पा सकते हैं जैसे:
- कौन ईमेल भेजा (ईमेल पता, आईपी, मेल सर्वर जिन्होंने ईमेल को पुनर्निर्देशित किया हो)
- कब ईमेल भेजा गया था
इसके अलावा, References और In-Reply-To हेडर्स में आप संदेशों का आईडी पा सकते हैं:
Windows Mail App
यह एप्लिकेशन ईमेल को HTML या पाठ में सहेजता है। आप ईमेल को ढूंढ सकते हैं \Users\<username>\AppData\Local\Comms\Unistore\data\3\ के अंदर सबफ़ोल्डर्स में। ईमेल .dat एक्सटेंशन के साथ सहेजे जाते हैं।
ईमेलों की मेटाडेटा और संपर्क को EDB डेटाबेस के अंदर पाया जा सकता है: \Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol
फ़ाइल का एक्सटेंशन बदलें .vol से .edb और आप इसे खोलने के लिए उपकरण ESEDatabaseView का उपयोग कर सकते हैं। Message तालिका के अंदर आप ईमेल देख सकते हैं।
Microsoft Outlook
जब Exchange सर्वर या Outlook क्लाइंट का उपयोग किया जाता है तो कुछ MAPI हेडर्स होते हैं:
Mapi-Client-Submit-Time: ईमेल भेजे जाने का समयMapi-Conversation-Index: थ्रेड के बच्चों के संदेशों की संख्या और प्रत्येक संदेश का समयचिह्नMapi-Entry-ID: संदेश पहचानकर्ता।Mappi-Message-FlagsऔरPr_last_Verb-Executed: MAPI क्लाइंट के बारे में जानकारी (संदेश पढ़ा गया? पढ़ा नहीं गया? प्रतिक्रिया दी गई? पुनर्निर्देशित किया गया? आफिस से बाहर?)
Microsoft Outlook क्लाइंट में, सभी भेजे गए/प्राप्त किए गए सं
Microsoft Outlook OST Files
एक OST फ़ाइल Microsoft Outlook द्वारा उत्पन्न की जाती है जब यह IMAP या Exchange सर्वर के साथ कॉन्फ़िगर किया गया होता है, जो एक PST फ़ाइल के समान जानकारी संग्रहित करती है। यह फ़ाइल सर्वर के साथ समकलीन होती है, पिछले 12 महीने तक के डेटा को अधिकतम 50GB आकार तक रखती है, और PST फ़ाइल के समान निर्देशिका में स्थित है। एक OST फ़ाइल देखने के लिए, Kernel OST viewer का उपयोग किया जा सकता है।
अटैचमेंट पुनः प्राप्त करना
खो गए अटैचमेंट को निम्नलिखित स्थान से पुनः प्राप्त किया जा सकता है:
- IE10 के लिए:
%APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook - IE11 और ऊपर के लिए:
%APPDATA%\Local\Microsoft\InetCache\Content.Outlook
Thunderbird MBOX Files
Thunderbird MBOX फ़ाइलें डेटा संग्रहित करने के लिए उपयोग करता है, जो \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles में स्थित है।
छवि थंबनेल्स
- Windows XP और 8-8.1: थंबनेल्स के साथ एक फ़ोल्डर तक पहुँचने पर, एक
thumbs.dbफ़ाइल उत्पन्न होती है जो छवि पूर्वावलोकन संग्रहित करती है, भले ही उसे हटा दिया गया हो। - Windows 7/10:
thumbs.dbउस समय उत्पन्न होती है जब यह एक नेटवर्क के माध्यम से UNC पथ के माध्यम से पहुँचा जाता है। - Windows Vista और नएरे: थंबनेल पूर्वावलोकन
%userprofile%\AppData\Local\Microsoft\Windows\Explorerमें केंद्रीकृत है जिसमें फ़ाइलें thumbcache_xxx.db नाम से होती हैं। Thumbsviewer और ThumbCache Viewer इन फ़ाइलों को देखने के लिए उपकरण हैं।
Windows रजिस्ट्री जानकारी
Windows रजिस्ट्री, विस्तृत सिस्टम और उपयोगकर्ता गतिविधि डेटा संग्रहित करने वाला है, निम्नलिखित फ़ाइलों में समाहित है:
- विभिन्न
HKEY_LOCAL_MACHINEसबकीज के लिए%windir%\System32\Config। HKEY_CURRENT_USERके लिए%UserProfile%{User}\NTUSER.DAT।- Windows Vista और उसके बाद के संस्करण ने
%Windir%\System32\Config\RegBack\मेंHKEY_LOCAL_MACHINEरजिस्ट्री फ़ाइलों का बैकअप बनाया। - इसके अतिरिक्त, कार्यक्रम निष्पादन जानकारी Windows Vista और Windows 2008 सर्वर के बाद से
%UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DATमें संग्रहित है।
उपकरण
कुछ उपकरण रजिस्ट्री फ़ाइलों का विश्लेषण करने के लिए उपयोगी हैं:
- रजिस्ट्री संपादक: यह Windows में स्थापित है। यह वर्तमान सत्र के Windows रजिस्ट्री में नेविगेट करने के लिए एक GUI है।
- रजिस्ट्री एक्सप्लोरर: यह आपको रजिस्ट्री फ़ाइल लोड करने और उनमें नेविगेट करने की अनुमति देता है। यह बुकमार्क्स शामिल करता है जो दिलचस्प जानकारी वाले कुंजियों को हाइलाइट करता है।
- RegRipper: फिर से, इसमें एक GUI है जो लोड किए गए रजिस्ट्री में नेविगेट करने की अनुमति देता है और लोड किए गए रजिस्ट्री में दिलचस्प जानकारी को हाइलाइट करने वाले प्लगइन्स भी शामिल हैं।
- Windows रजिस्ट्री रिकवरी: एक और GUI एप्लिकेशन जो रजिस्ट्री से महत्वपूर्ण जानकारी निकालने में सक्षम है।
हटाए गए तत्व को पुनः प्राप्त करना
जब एक कुंजी हटाई जाती है तो उसे ऐसा चिह्नित किया जाता है, लेकिन जब तक वह जगह जिसे यह धारण कर रही है उसकी आवश्यकता न हो, तब तक यह हटाया नहीं जाएगा। इसलिए, रजिस्ट्री एक्सप्लोरर जैसे उपकरण का उपयोग करके इन हटाए गए कुंजियों को पुनः प्राप्त किया जा सकता है।
अंतिम लेखन समय
प्रत्येक कुंजी-मान में एक समय चिह्नांक होता है जो दर्शाता है कि आखिरी बार यह संशोधित किया गया था।
SAM
फ़ाइल/हाइव SAM में सिस्टम के उपयोगकर्ता, समूह और उपयोगकर्ता पासवर्ड हैश होते हैं।
SAM\Domains\Account\Users में आप उपयोगकर्ता नाम, RID, अंतिम लॉगिन, अंतिम विफल लॉगिन, लॉगिन काउंटर, पासवर्ड नीति और खाता बनाया गया था कब तक प्राप्त कर सकते हैं। हैश प्राप्त करने के लिए आपको फ़ाइल/हाइव SYSTEM की भी आवश्यकता है।
Windows रजिस्ट्री में दिलचस्प प्रविष्टियाँ
{% content-ref url="interesting-windows-registry-keys.md" %} interesting-windows-registry-keys.md {% endcontent-ref %}
कार्यक्रम निष्पादित
मौलिक Windows प्रक्रियाएँ
इस पोस्ट में आप संदेहास्पद व्यवहार का पता लगाने के लिए सामान्य Windows प्रक्रियाओं के बारे में सीख सकते हैं।
Windows हाल के APPs
रजिस्ट्री NTUSER.DAT में पथ Software\Microsoft\Current Version\Search\RecentApps में आप एप्लिकेशन निष्पादित, अंतिम समय जब यह निष्पादित किया गया था, और कितनी बार यह चलाया गया था के बारे में जानकारी वाले सबकीज प्राप्त कर सकते हैं।
BAM (पृष्ठभूमि गतिविधि नियंत्रक)
आप रजिस्ट्री संपादक के साथ SYSTEM फ़ाइल खोल सकते हैं और पथ SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} में आप प्रत्येक उपयोगकर्ता द्वारा निष्पादित एप्लिकेशन की जानकारी (पथ में {SID} का ध्यान दें) और कब वे निष्पादित किए गए थे (समय रजिस्ट्री के डेटा मान में होता है) प्राप्त कर सकते हैं।
Windows Prefetch
प्रीफेचिंग एक तकनीक है जो एक कंप्यूटर को चुपचाप उन आवश्यक संसाधनों को लाने की अनुमति देती है जो एक उपयोगकर्ता निकट भविष्य में पहुँच सकता है ताकि संसाधनों को तेजी से पहुँचा जा सके।
Windows प्रीफेच में निष्पादित कार्यक्रमों के कैश बनाने से उन्हें तेजी से लोड करने की क्षमता होती है। ये कैशेज .pf फ़ाइलें बनाते हैं पथ में: C:\Windows\Prefetch। XP/VISTA/WIN7 में 128 फ़ाइलों की सीमा होती है और Win8/Win10 में 1024 फ़ाइलें होती हैं।
फ़ाइल का नाम {प्रोग्राम_नाम}-{हैश}.pf बनाया जाता है (हैश पथ और कार्यक्रम के तर्कों पर आधारित है)। W10 में ये फ़ाइलें संकुचित होती हैं। ध्यान दें कि फ़ाइल की केवल मौजूदगी इस बात का संक
.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"
सुपरप्रीफेच
सुपरप्रीफेच का उसी लक्ष्य है जैसे प्रीफेच, प्रोग्राम्स को तेजी से लोड करना अगले क्या लोड होने वाला है का पूर्वानुमान करके। हालांकि, यह प्रीफेच सेवा की जगह नहीं लेता है।
यह सेवा डेटाबेस फ़ाइल्स उत्पन्न करेगी C:\Windows\Prefetch\Ag*.db में।
इन डेटाबेस में आप प्रोग्राम का नाम, एक्जीक्यूशन्स की संख्या, फ़ाइलें खोली गई, वॉल्यूम एक्सेस, पूरा पथ, समयअंतर और टाइमस्टैम्प्स देख सकते हैं।
आप इस जानकारी तक पहुंच सकते हैं उपकरण CrowdResponse का उपयोग करके।
SRUM
सिस्टम रिसोर्स उपयोग मॉनिटर (SRUM) प्रक्रिया द्वारा उपयोग किए गए संसाधनों का निगरानी करता है। यह W8 में प्रकट हुआ और यह डेटा को C:\Windows\System32\sru\SRUDB.dat में स्थित एक ESE डेटाबेस में संग्रहित करता है।
यह निम्नलिखित जानकारी प्रदान करता है:
- ऐपआईडी और पथ
- प्रक्रिया को चलाने वाला उपयोगकर्ता
- भेजे गए बाइट्स
- प्राप्त बाइट्स
- नेटवर्क इंटरफेस
- कनेक्शन अवधि
- प्रक्रिया अवधि
यह जानकारी हर 60 मिनट में अपडेट होती है।
आप इस फ़ाइल से डेटा प्राप्त कर सकते हैं उपकरण srum_dump का उपयोग करके।
.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum
AppCompatCache (ShimCache)
AppCompatCache, जिसे ShimCache भी कहा जाता है, Microsoft द्वारा विकसित Application Compatibility Database का हिस्सा बनता है जो एप्लिकेशन संगतता समस्याओं का सामना करने के लिए है। यह सिस्टम कॉम्पोनेंट विभिन्न फ़ाइल मेटाडेटा को रिकॉर्ड करता है, जिसमें शामिल हैं:
- फ़ाइल का पूरा पथ
- फ़ाइल का आकार
- $Standard_Information (SI) के तहत अंतिम संशोधित समय
- ShimCache का अंतिम अपडेट समय
- प्रक्रिया निष्पादन ध्वज
ऐसे डेटा को रजिस्ट्री में रखा जाता है विशेष स्थानों पर आधारित होता है ऑपरेटिंग सिस्टम के संस्करण पर:
- XP के लिए, डेटा
SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCacheके तहत संग्रहीत होता है जिसमें 96 एंट्री की क्षमता होती है। - सर्वर 2003, साथ ही Windows संस्करण 2008, 2012, 2016, 7, 8, और 10 के लिए, स्टोरेज पथ
SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCacheहोता है, जिसमें 512 और 1024 एंट्री की क्षमता होती है।
संग्रहित जानकारी को पार्स करने के लिए, AppCompatCacheParser टूल का उपयोग करना सुझावित है।
Amcache
Amcache.hve फ़ाइल मूल रूप से एक रजिस्ट्री हाइव है जो एक सिस्टम पर निष्पादित की गई एप्लिकेशनों के बारे में विवरण लॉग करता है। यह सामान्यत: C:\Windows\AppCompat\Programas\Amcache.hve पर पाया जाता है।
यह फ़ाइल हाल ही में निष्पादित प्रक्रियाओं के रिकॉर्ड संग्रहित करने के लिए प्रमुख है, जिसमें निष्पादनी फ़ाइलों के पथ और उनके SHA1 हैश शामिल हैं। यह जानकारी सिस्टम पर एप्लिकेशनों की गतिविधि का ट्रैकिंग करने के लिए अमूल्य है।
Amcache.hve से डेटा निकालने और विश्लेषण करने के लिए, AmcacheParser टूल का उपयोग किया जा सकता है। निम्नलिखित कमांड एक उदाहरण है कि AmcacheParser का उपयोग कैसे किया जाता है Amcache.hve फ़ाइल की सामग्री को पार्स करने और परिणामों को CSV प्रारूप में आउटपुट करने के लिए:
AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder
में उत्पन्न CSV फ़ाइलों में, Amcache_Unassociated file entries विशेष रूप से महत्वपूर्ण है क्योंकि यह असंबद्ध फ़ाइल प्रविष्टियों के बारे में विस्तृत जानकारी प्रदान करता है।
सबसे दिलचस्प CVS फ़ाइल जो उत्पन्न होती है, वह है Amcache_Unassociated file entries।
RecentFileCache
इस आर्टिफैक्ट को केवल W7 में C:\Windows\AppCompat\Programs\RecentFileCache.bcf में पाया जा सकता है और यह कुछ बाइनरी के हाल ही में निष्पादन के बारे में जानकारी रखता है।
आप उपकरण RecentFileCacheParse का उपयोग फ़ाइल को पार्स करने के लिए कर सकते हैं।
निर्धारित कार्य
आप इन्हें C:\Windows\Tasks या C:\Windows\System32\Tasks से निकाल सकते हैं और उन्हें XML के रूप में पढ़ सकते हैं।
सेवाएं
आप उन्हें रजिस्ट्री में SYSTEM\ControlSet001\Services के तहत पा सकते हैं। आप देख सकते हैं कि क्या निष्पादित किया जा रहा है और कब।
Windows Store
स्थापित एप्लिकेशन \ProgramData\Microsoft\Windows\AppRepository\ में पाई जा सकती हैं।
इस भंडार में एक लॉग है जिसमें प्रत्येक एप्लिकेशन की स्थापना की गई है जो डेटाबेस StateRepository-Machine.srd के अंदर सिस्टम में।
इस डेटाबेस के एप्लिकेशन तालिका के अंदर, "एप्लिकेशन आईडी", "पैकेज नंबर", और "प्रदर्शन नाम" पाए जा सकते हैं। ये स्तंभ पूर्व स्थापित और स्थापित एप्लिकेशनों के बारे में जानकारी रखते हैं और यह पता लगाया जा सकता है कि क्या कुछ एप्लिकेशन अनइंस्टॉल किए गए थे क्योंकि स्थापित एप्लिकेशनों के आईडी सतत होने चाहिए।
रजिस्ट्री पथ के अंदर भी स्थापित एप्लिकेशन पाए जा सकते हैं: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\
और अनइंस्टॉल एप्लिकेशन में: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\
Windows घटनाएं
Windows घटनाओं के अंदर जो जानकारी आती है:
- क्या हुआ
- टाइमस्टैम्प (UTC + 0)
- शामिल हुए उपयोगकर्ता
- शामिल हुए होस्ट (होस्टनाम, आईपी)
- एसेट्स तक पहुंचा (फ़ाइलें, फ़ोल्डर, प्रिंटर, सेवाएं)
लॉग C:\Windows\System32\config में पहले Windows Vista से पहले और C:\Windows\System32\winevt\Logs में Windows Vista के बाद स्थित हैं। Windows Vista से पहले, इवेंट लॉग्स बाइनरी प्रारूप में थे और इसके बाद, वे XML प्रारूप में हैं और .evtx एक्सटेंशन का उपयोग करते हैं।
इवेंट फ़ाइलों की स्थिति को HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security} में पा सकते हैं
इन्हें Windows इवेंट व्यूअर (eventvwr.msc) से देखा जा सकता है या Event Log Explorer जैसे अन्य उपकरणों के साथ देखा जा सकता है या Evtx Explorer/EvtxECmd।
Windows सुरक्षा इवेंट लॉगिंग को समझना
सुरक्षा विन्यास फ़ाइल में एक्सेस इवेंट रिकॉर्ड किए जाते हैं जो C:\Windows\System32\winevt\Security.evtx में स्थित है। इस फ़ाइल का आकार समायोज्य है, और जब इसकी क्षमता पूरी हो जाती है, पुराने इवेंट ओवरराइट हो जाते हैं। रिकॉर्ड किए गए इवेंट में उपयोगकर्ता लॉगिन और लॉगआउट, उपयोगकर्ता क्रियाएँ, और सुरक्षा सेटिंग्स में परिवर्तन, साथ ही फ़ाइल, फ़ोल्डर, और साझा एसेट एक्सेस भी शामिल हैं।
उपयोगकर्ता प्रमाणीकरण के लिए मुख्य इवेंट आईडी:
- इवेंट आईडी 4624: उपयोगकर्ता सफलतापूर्वक प्रमाणीकृत है।
- इवेंट आईडी 4625: प्रमाणीकरण विफलता की संकेत देता है।
- इवेंट आईडी 4634/4647: उपयोगकर्ता लॉगआउट इवेंट को प्रस्तुत करता है।
- इवेंट आईडी 4672: प्रबंधनीय विशेषाधिकारों के साथ लॉगिन को दर्शाता है।
इवेंट आईडी 4634/4647 के अंदर उप-प्रकार:
- इंटरैक्टिव (2): सीधे उपयोगकर्ता लॉगिन।
- नेटवर्क (3): साझा फ़ोल्डरों तक पहुंच।
- बैच (4): बैच प्रक्रियाओं का क्रियान्वयन।
- सेवा (5): सेवा लॉन्च।
- प्रॉक्सी (6): प्रॉक्सी प्रमाणीकरण।
- अनलॉक (7): पासवर्ड के साथ स्क्रीन अनलॉक।
- नेटवर्क क्लियरटेक्स्ट (8): क्लियर टेक्स्ट पासवर्ड प्रसारण, अक्सर IIS से।
- नए प्रमाणीकरण (9): पहुंच के लिए विभिन्न प्रमाणीकरण का उपयोग।
- रिमोट इंटरैक्टिव (10): रिमोट डेस्कटॉप या टर्मिनल सेवाओं लॉगिन।
- कैश इंटरैक्टिव (11): डोमेन कंट्रोलर से संपर्क के बिना कैश उपयोगकर्ता पहुंच।
- कैश रिमोट इंटरैक्टिव (12): कैश उपयोगकर्ता पहुंच के साथ रिमोट लॉगिन।
- कैश अनलॉक (13): कैश उपयोगकर्ता पहुंच के साथ अनलॉक।
इवेंट आईडी 4625 के लिए स्थिति और उप-स्थिति कोड:
- 0xC0000064: उपयोगकर्ता नाम मौजूद नहीं है - उपयोगकर्ता नाम जांच आक्रमण का संकेत हो सकता है।
- 0xC000006A: सही उपयोगकर्ता नाम लेकिन गलत पासवर्ड - संभावित पासवर्ड अनुमान या ब्रूट-फोर्स प्रयास।
- 0xC0000234: उपयोगकर्ता खाता लॉकआउट - एक ब्रूट-फोर्स आक्रमण के परिणामस्वरूप कई विफल लॉगिन के बाद।
- 0xC0000072: खाता निषेधित - निषेधित खातों तक पहुंच के अनधिकृत प्रयास।
- 0xC000006F: अनुमति समय के बाहर लॉगिन - अनधिकृत पहुंच के संकेत के रूप में सेट लॉगिन घंटों के बाहर पहुंच के प्रयास।
- 0xC0000070: कार्यस्थल प्रतिबंधों का उल्लंघन - अनधिकृत स्थान से लॉगिन का प्रयास।
- 0xC0000193: खाता समाप्ति - समाप्त हो चुके उपयोगकर्ता खातों के साथ पहुंच के प्रयास।
- 0xC0000071: समाप्त पासवर्ड - पुराने पासवर्ड के साथ लॉगिन के प्रयास।
- 0xC0000133: समय सिंक समस्याएँ - ग्राहक और सर्वर के बीच बड़े समय अंतर के बीच अधिक विकसित आक्रमणों का संकेत हो सकता है जैसे पास-द-टिकट।
- 0xC0000224: अनिवार्य पासवर्ड पर
सिस्टम पावर इवेंट्स
इवेंटआईडी 6005 सिस्टम स्टार्टअप को दर्शाता है, जबकि इवेंटआईडी 6006 शटडाउन को चिह्नित करता है।
लॉग हटाना
सिक्योरिटी इवेंटआईडी 1102 लॉग को हटाने की सूचना देता है, जो फोरेंसिक विश्लेषण के लिए एक महत्वपूर्ण इवेंट है।
{% embed url="https://websec.nl/" %}