hacktricks/forensics/basic-forensic-methodology/windows-forensics

Віконні артефакти

Віконні артефакти

{% hint style="success" %} Вивчайте та практикуйте хакінг AWS: Навчання AWS Red Team Expert (ARTE) HackTricks
Вивчайте та практикуйте хакінг GCP: Навчання GCP Red Team Expert (GRTE) HackTricks

Підтримайте HackTricks

• Перевірте плани підписки!
• Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
• Поширюйте хакерські трюки, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв GitHub.

{% endhint %}

{% embed url="https://websec.nl/" %}

Загальні віконні артефакти

Сповіщення Windows 10

У шляху \Users\<username>\AppData\Local\Microsoft\Windows\Notifications ви можете знайти базу даних appdb.dat (до Windows Anniversary) або wpndatabase.db (після Windows Anniversary).

У цій базі даних SQLite ви можете знайти таблицю Notification з усіма сповіщеннями (у форматі XML), які можуть містити цікаві дані.

Хронологія

Хронологія - це характеристика Windows, яка надає хронологічну історію відвіданих веб-сторінок, відредагованих документів та виконаних програм.

База даних знаходиться за шляхом \Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db. Цю базу даних можна відкрити за допомогою інструменту SQLite або інструменту WxTCmd, який генерує 2 файли, які можна відкрити за допомогою інструменту TimeLine Explorer.

ADS (Alternate Data Streams)

Завантажені файли можуть містити ADS Zone.Identifier, що вказує, як він був завантажений з інтранету, Інтернету і т. д. Деяке програмне забезпечення (наприклад, браузери) зазвичай навіть додають більше інформації, наприклад, URL з якого був завантажений файл.

Резервні копії файлів

Кошик

У Vista/Win7/Win8/Win10 Кошик можна знайти у папці $Recycle.bin в корені диска (C:\$Recycle.bin).
Коли файл видаляється у цій папці, створюються 2 конкретних файли:

• $I{id}: Інформація про файл (дата видалення)
• $R{id}: Вміст файлу

Маючи ці файли, ви можете використовувати інструмент Rifiuti, щоб отримати початкову адресу видалених файлів та дату їх видалення (використовуйте rifiuti-vista.exe для Vista – Win10).

.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle

Тіньові копії томів

Shadow Copy - це технологія, включена в Microsoft Windows, яка може створювати резервні копії або знімки файлів або томів комп'ютера, навіть коли вони використовуються.

Ці резервні копії зазвичай знаходяться в \System Volume Information від кореня файлової системи, а їх назва складається з UID, показаних на наступному зображенні:

Підключаючи образ для форензики за допомогою ArsenalImageMounter, інструмент ShadowCopyView може бути використаний для огляду тіньової копії та навіть екстрагування файлів з резервних копій тіньових копій.

Запис реєстру HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore містить файли та ключі, які необхідно резервне копіювання:

Реєстр HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS також містить інформацію конфігурації про Тіньові копії томів.

Файли автозбереження Office

Ви можете знайти файли автозбереження Office за шляхом: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\

Елементи оболонки

Елемент оболонки - це елемент, який містить інформацію про те, як отримати доступ до іншого файлу.

Останні документи (LNK)

Windows автоматично створює ці ярлики, коли користувач відкриває, використовує або створює файл в:

• Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
• Office: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\

При створенні папки також створюється посилання на папку, на батьківську папку та прабатьківську папку.

Ці автоматично створені файли посилань містять інформацію про походження, наприклад, чи це файл чи папка, часи MAC цього файлу, інформацію про том, де зберігається файл, та папку цільового файлу. Ця інформація може бути корисною для відновлення цих файлів у разі їх видалення.

Крім того, дата створення посилання - це перший час, коли оригінальний файл був використаний, а дата зміни посилання - останній раз, коли використовувався оригінальний файл.

Для огляду цих файлів ви можете використовувати LinkParser.

У цих інструментах ви знайдете 2 набори міток часу:

• Перший набір:

1. FileModifiedDate
2. FileAccessDate
3. FileCreationDate

• Другий набір:

1. LinkModifiedDate
2. LinkAccessDate
3. LinkCreationDate.

Перший набір міток часу посилається на мітки часу самого файлу. Другий набір посилається на мітки часу зв'язаного файлу.

Ви можете отримати ту саму інформацію, запустивши інструмент командного рядка Windows: LECmd.exe

LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs

Jumplists

Це останні файли, які вказані за допомогою кожного додатка. Це список останніх файлів, використаних додатком, до якого ви можете отримати доступ у кожному додатку. Вони можуть бути створені автоматично або бути користувацькими.

Jumplists, створені автоматично, зберігаються в C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\. Jumplists називаються за форматом {id}.autmaticDestinations-ms, де початковий ID - це ID додатка.

Користувацькі jumplists зберігаються в C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\, і їх створює додаток зазвичай через те, що щось важливе сталося з файлом (можливо, він був позначений як улюблений).

Час створення будь-якого jumplist вказує на перший раз, коли файл був доступний, а час зміни - останній раз.

Ви можете перевірити jumplists за допомогою JumplistExplorer.

(Зверніть увагу, що відмітки часу, надані JumplistExplorer, стосуються самого файлу jumplist)

Shellbags

Перейдіть за цим посиланням, щоб дізнатися, що таке shellbags.

Використання USB-накопичувачів Windows

Можливо виявити, що USB-пристрій був використаний завдяки створенню:

• Папки Останні вікна
• Папки Останні Microsoft Office
• Jumplists

Зверніть увагу, що деякі файли LNK, замість посилання на оригінальний шлях, посилаються на папку WPDNSE:

Файли в папці WPDNSE є копією оригінальних файлів, тому вони не виживуть після перезавантаження ПК, а GUID береться з shellbag.

Інформація реєстру

Перевірте цю сторінку, щоб дізнатися, які ключі реєстру містять цікаву інформацію про підключені USB-пристрої.

setupapi

Перевірте файл C:\Windows\inf\setupapi.dev.log, щоб отримати відмітки часу про те, коли було встановлено підключення USB (шукайте Section start).

USB Detective

USBDetective може бути використаний для отримання інформації про USB-пристрої, які були підключені до зображення.

Плагін та грати очистку

Заплановане завдання, відоме як 'Plug and Play Cleanup', призначене в основному для видалення застарілих версій драйверів. Незважаючи на вказану мету збереження останньої версії пакету драйверів, джерела в Інтернеті вказують, що воно також спрямоване на драйвери, які були неактивними протягом 30 днів. Відповідно, драйвери для знімних пристроїв, які не підключалися протягом останніх 30 днів, можуть бути видалені.

Завдання розташоване за наступним шляхом: C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup.

Надається знімок екрана, що показує вміст завдання:

Основні компоненти та налаштування завдання:

• pnpclean.dll: Ця DLL відповідає за фактичний процес очищення.
• UseUnifiedSchedulingEngine: Встановлено на TRUE, що вказує на використання загального розкладування завдань.
• MaintenanceSettings:
• Період ('P1M'): Вказує планувальнику завдань ініціювати завдання очищення щомісяця під час звичайного автоматичного обслуговування.
• Термін ('P2M'): Інструктує планувальник завдань, якщо завдання не вдалося протягом двох послідовних місяців, виконати завдання під час аварійного автоматичного обслуговування.

Ця конфігурація забезпечує регулярне обслуговування та очищення драйверів, з можливістю повторної спроби завдання у випадку послідовних невдач.

Для отримання додаткової інформації перегляньте: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html

Електронні листи

Електронні листи містять 2 цікаві частини: заголовки та вміст листа. У заголовках можна знайти інформацію, таку як:

• Хто відправив листи (адреса електронної пошти, IP, поштові сервери, які перенаправили лист)
• Коли було відправлено лист

Також, у заголовках References та In-Reply-To можна знайти ID повідомлень:

Приклад програми пошти Windows

Ця програма зберігає листи у форматі HTML або тексту. Ви можете знайти листи у підпапках у \Users\<username>\AppData\Local\Comms\Unistore\data\3\. Листи зберігаються з розширенням .dat.

Метадані листів та контакти можна знайти у базі даних EDB: \Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol

Змініть розширення файлу з .vol на .edb, і ви можете використовувати інструмент ESEDatabaseView, щоб відкрити його. У таблиці Message ви можете побачити листи.

Microsoft Outlook

Коли використовуються сервери Exchange або клієнти Outlook, будуть деякі заголовки MAPI:

• Mapi-Client-Submit-Time: Час системи, коли було відправлено лист
• Mapi-Conversation-Index: Кількість дочірніх повідомлень потоку та час кожного повідомлення потоку
• Mapi-Entry-ID: Ідентифікатор повідомлення.
• Mappi-Message-Flags та Pr_last_Verb-Executed: Інформація про клієнта MAPI (повідомлення прочитано? не прочитано? відповіли? перенаправлено? поза офісом?)

У клієнті Microsoft Outlook всі відправлені/отримані повідомлення, дані контактів та календарні дані зберігаються в файлі PST у:

• %USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook (WinXP)
• %USERPROFILE%\AppData\Local\Microsoft\Outlook

Шлях реєстру HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook вказує на використаний файл.

Ви можете відкрити файл PST за допомогою інструменту Kernel PST Viewer.

Файли Microsoft Outlook OST

Файл OST генерується Microsoft Outlook, коли він налаштований з IMAP або Exchange сервером, зберігаючи подібну інформацію до файлу PST. Цей файл синхронізується з сервером, зберігаючи дані за останні 12 місяців до максимального розміру 50 ГБ, і розташовується в тій же теки, що і файл PST. Для перегляду файлу OST можна використовувати Kernel OST viewer.

Отримання вкладень

Втрачені вкладення можна відновити з:

• Для IE10: %APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook
• Для IE11 та вище: %APPDATA%\Local\Microsoft\InetCache\Content.Outlook

Файли Thunderbird MBOX

Thunderbird використовує файли MBOX для зберігання даних, розташованих в \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles.

Мініатюри зображень

• Windows XP та 8-8.1: Доступ до теки з мініатюрами генерує файл thumbs.db, який зберігає попередні перегляди зображень, навіть після видалення.
• Windows 7/10: thumbs.db створюється при доступі через мережу за допомогою шляху UNC.
• Windows Vista та новіше: Попередні перегляди мініатюр централізовані в %userprofile%\AppData\Local\Microsoft\Windows\Explorer з файлами, названими thumbcache_xxx.db. Thumbsviewer та ThumbCache Viewer - це інструменти для перегляду цих файлів.

Інформація з реєстру Windows

Реєстр Windows, що зберігає обширні дані про систему та активність користувача, міститься в файлах:

• %windir%\System32\Config для різних підключів HKEY_LOCAL_MACHINE.
• %UserProfile%{User}\NTUSER.DAT для HKEY_CURRENT_USER.
• Windows Vista та пізніші версії резервують файли реєстру HKEY_LOCAL_MACHINE в %Windir%\System32\Config\RegBack\.
• Крім того, інформація про виконання програм зберігається в %UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT з Windows Vista та Windows 2008 Server і пізніше.

Інструменти

Деякі інструменти корисні для аналізу файлів реєстру:

• Редактор реєстру: Встановлений в Windows. Це графічний інтерфейс для навігації через реєстр Windows поточної сесії.
• Registry Explorer: Дозволяє завантажити файл реєстру та навігувати через них за допомогою графічного інтерфейсу. Також містить закладки, які підсвічують ключі з цікавою інформацією.
• RegRipper: Знову, має графічний інтерфейс, який дозволяє навігувати через завантажений реєстр та містить плагіни, які підсвічують цікаву інформацію всередині завантаженого реєстру.
• Windows Registry Recovery: Інша GUI-програма, здатна видобувати важливу інформацію з завантаженого реєстру.

Відновлення видаленого елементу

Коли ключ видаляється, він позначається як такий, але до тих пір, поки простір, який він займає, не буде потрібний, він не буде видалений. Тому, використовуючи інструменти, такі як Registry Explorer, можна відновити ці видалені ключі.

Час останньої зміни

Кожен ключ-значення містить відмітку часу, що вказує на останній раз, коли він був змінений.

SAM

Файл/гілка SAM містить хеші паролів користувачів, груп та користувачів системи.

У SAM\Domains\Account\Users можна отримати ім'я користувача, RID, останній вхід, останній невдалий вхід, лічильник входів, політику паролю та дату створення облікового запису. Для отримання хешів також потрібний файл/гілка SYSTEM.

Цікаві записи в реєстрі Windows

{% content-ref url="interesting-windows-registry-keys.md" %} interesting-windows-registry-keys.md {% endcontent-ref %}

Виконані програми

Основні процеси Windows

У цьому пості ви можете дізнатися про загальні процеси Windows для виявлення підозрілих поведінок.

Останні програми Windows

У реєстрі NTUSER.DAT за шляхом Software\Microsoft\Current Version\Search\RecentApps можна знайти підключі з інформацією про виконану програму, останній час її виконання та кількість разів, коли вона була запущена.

BAM (Модератор фонової активності)

Ви можете відкрити файл SYSTEM за допомогою редактора реєстру та в шляху SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} знайти інформацію про програми, виконані кожним користувачем (зверніть увагу на {SID} в шляху) та час їх виконання (час знаходиться у значенні даних реєстру).

Windows Prefetch

Попереднє завантаження - це техніка, яка дозволяє комп'ютеру тихо завантажувати необхідні ресурси для відображення вмісту, до якого користувач може звернутися у найближчому майбутньому, щоб ресурси можна було отримати швидше.

Windows Prefetch полягає в створенні кешів виконаних програм, щоб мати змогу завантажувати їх швидше. Ці кеші створюються у вигляді файлів .pf за шляхом: C:\Windows\Prefetch. Є обмеження на 128 файлів у XP/VISTA/WIN7 та 1024 файлів у Win8/Win10.

Ім'я файлу створюється як {program_name}-{hash}.pf (хеш базується на шляху та аргументах виконуваного файлу). У W10 ці файли стиснуті. Зверніть увагу, що саме наявність файлу вказує на те, що програма була виконана у певний момент.

Файл C:\Windows\Prefetch\Layout.ini містить назви тек файлів, які попередньо завантажувалися. Цей файл містить інформацію про кількість виконань, дати виконання та файли, відкриті програмою.

Для перегляду цих файлів можна використовувати інструмент PEcmd.exe:

.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"

Суперпередзавантаження

Суперпередзавантаження має ту ж мету, що і передзавантаження, завантажувати програми швидше, передбачаючи, що буде завантажено наступним. Однак воно не замінює службу передзавантаження.
Ця служба буде генерувати базові файли у C:\Windows\Prefetch\Ag*.db.

У цих базах даних ви можете знайти ім'я програми, кількість виконань, відкриті файли, обсяг доступу, повний шлях, проміжки часу та відмітки часу.

Ви можете отримати доступ до цієї інформації за допомогою інструменту CrowdResponse.

SRUM

Монітор використання системних ресурсів (SRUM) відстежує ресурси, використані процесом. Він з'явився в W8 і зберігає дані в базі даних ESE, розташованій у C:\Windows\System32\sru\SRUDB.dat.

Він надає наступну інформацію:

• Ідентифікатор додатку та шлях
• Користувач, який виконав процес
• Відправлені байти
• Отримані байти
• Мережевий інтерфейс
• Тривалість підключення
• Тривалість процесу

Ця інформація оновлюється кожні 60 хвилин.

Ви можете отримати дані з цього файлу за допомогою інструменту srum_dump.

.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum

AppCompatCache (ShimCache)

AppCompatCache, також відомий як ShimCache, є частиною Бази даних сумісності програм розробленої Microsoft для вирішення проблем сумісності програм. Цей компонент системи записує різні частини метаданих файлів, до яких входять:

• Повний шлях до файлу
• Розмір файлу
• Час останньої модифікації у $Standard_Information (SI)
• Час останнього оновлення ShimCache
• Прапорець виконання процесу

Такі дані зберігаються в реєстрі за конкретними розташуваннями в залежності від версії операційної системи:

• Для XP дані зберігаються в SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache з можливістю для 96 записів.
• Для Server 2003, а також для версій Windows 2008, 2012, 2016, 7, 8 та 10, шлях зберігання є SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache, з можливістю для 512 та 1024 записів відповідно.

Для аналізу збереженої інформації рекомендується використовувати інструмент AppCompatCacheParser.

Amcache

Файл Amcache.hve суттєво є реєстром, який реєструє деталі про програми, які були виконані на системі. Зазвичай він знаходиться за адресою C:\Windows\AppCompat\Programas\Amcache.hve.

Цей файл відомий тим, що зберігає записи останніх виконаних процесів, включаючи шляхи до виконавчих файлів та їх хеші SHA1. Ця інформація є надзвичайно важливою для відстеження діяльності програм на системі.

Для вилучення та аналізу даних з Amcache.hve можна використовувати інструмент AmcacheParser. Наведена нижче команда є прикладом використання AmcacheParser для аналізу вмісту файлу Amcache.hve та виведення результатів у форматі CSV:

AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder

Серед згенерованих файлів CSV особливу увагу слід звернути на Amcache_Unassociated file entries через багату інформацію, яку він надає про не пов'язані файлові записи.

Найцікавіший файл CVS, який генерується, - це Amcache_Unassociated file entries.

RecentFileCache

Цей артефакт можна знайти лише в W7 за адресою C:\Windows\AppCompat\Programs\RecentFileCache.bcf і містить інформацію про останнє виконання деяких бінарних файлів.

Ви можете використовувати інструмент RecentFileCacheParse для аналізу файлу.

Заплановані завдання

Ви можете витягти їх з C:\Windows\Tasks або C:\Windows\System32\Tasks і читати їх у форматі XML.

Служби

Ви можете знайти їх у реєстрі за адресою SYSTEM\ControlSet001\Services. Ви можете побачити, що буде виконано і коли.

Windows Store

Встановлені додатки можна знайти в \ProgramData\Microsoft\Windows\AppRepository\
У цьому репозиторії є журнал з кожним встановленим додатком в системі всередині бази даних StateRepository-Machine.srd.

У таблиці Application цієї бази даних можна знайти стовпці: "Ідентифікатор додатка", "Номер пакету" та "Відображуване ім'я". Ці стовпці містять інформацію про передвстановлені та встановлені додатки, і можна визначити, чи були деякі додатки видалені, оскільки ідентифікатори встановлених додатків повинні бути послідовними.

Також можна знайти встановлені додатки за шляхом реєстру: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\
І видалені додатки в: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\

Події Windows

Інформація, яка з'являється в подіях Windows, включає:

• Що сталося
• Мітка часу (UTC + 0)
• Залучені користувачі
• Залучені хости (ім'я хоста, IP)
• Активи, до яких зверталися (файли, теки, принтери, служби)

Журнали знаходяться в C:\Windows\System32\config до Windows Vista і в C:\Windows\System32\winevt\Logs після Windows Vista. До Windows Vista журнали подій були у бінарному форматі, а після цього вони у форматі XML та використовують розширення .evtx.

Місце розташування файлів подій можна знайти в реєстрі SYSTEM за адресою HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}

Їх можна візуалізувати з Windows Event Viewer (eventvwr.msc) або іншими інструментами, такими як Event Log Explorer або Evtx Explorer/EvtxECmd.

Розуміння журналювання подій безпеки Windows

Події доступу записуються у файл конфігурації безпеки, розташований за адресою C:\Windows\System32\winevt\Security.evtx. Розмір цього файлу можна налаштувати, і коли досягається його місткість, старі події перезаписуються. Записані події включають вхід та вихід користувачів, дії користувачів та зміни налаштувань безпеки, а також доступ до файлів, тек та спільних активів.

Ключові ідентифікатори подій для аутентифікації користувача:

• EventID 4624: Вказує на успішну аутентифікацію користувача.
• EventID 4625: Сигналізує про невдачу аутентифікації.
• EventIDs 4634/4647: Представляють події виходу користувача.
• EventID 4672: Позначає вхід з адміністративними привілеями.

Підтипи в межах EventID 4634/4647:

• Інтерактивний (2): Прямий вхід користувача.
• Мережевий (3): Доступ до спільних тек.
• Пакетний (4): Виконання пакетних процесів.
• Службовий (5): Запуск служб.
• Проксі (6): Аутентифікація проксі.
• Розблокування (7): Екран розблоковано за допомогою пароля.
• Мережевий текст (8): Передача пароля у відкритому тексті, часто з IIS.
• Нові облікові дані (9): Використання інших облікових даних для доступу.
• Віддалений інтерактивний (10): Віддалений робочий стіл або вхід через службу терміналів.
• Кешовий інтерактивний (11): Вхід з кешовими обліковими даними без контакту з контролером домену.
• Кешовий віддалений інтерактивний (12): Віддалений вхід з кешовими обліковими даними.
• Кешове розблокування (13): Розблокування з кешовими обліковими даними.

Коди статусу та підкоди статусу для EventID 4625:

• 0xC0000064: Ім'я користувача не існує - Може вказувати на атаку переліку імен користувачів.
• 0xC000006A: Правильне ім'я користувача, але неправильний пароль - Можлива спроба вгадування або перебору паролів.
• 0xC0000234: Обліковий запис користувача заблоковано - Може виникнути після атаки перебору з багатьма невдалими входами.
• 0xC0000072: Обліковий запис вимкнено - Несанкціоновані спроби доступу до вимкнених облікових записів.
• 0xC000006F: Вхід поза дозволеним часом - Вказує на спроби доступу поза встановленими годинами входу, можливий ознака несанкціонованого доступу.
• 0xC0000070: Порушення обмежень робочої станції - Може бути спробою входу з недозволеної локації.
• 0xC0000193: Термін дії облікового запису закінчився - Спроби доступу зі збіглими термінами дії облікових записів.
• 0xC0000071: Закінчився термін дії пароля - Спроби входу з застарілими паролями.
• 0xC0000133: Проблеми синхронізації часу - Великі розбіжності часу між клієнтом та сервером можуть свідчити про більш складні атаки, такі як передача квитка.
• 0xC0000224: Обов'язкова зміна пароля - Часті обов'язкові зміни можуть свідчити про спробу підірвати безпеку облікового запису.
• 0xC0000225: Вказує на помилку системи, а не проблему безпеки.
• 0xC000015b: Відмова від типу входу - Спроба доступу з недозволеним типом входу, наприклад, користувач, який намагається виконати вхід служби.

EventID 4616:

• Зміна часу: Зміна системного часу, може ускладнити аналіз подій.

EventID 6005 та 6006:

• Запуск та вимкнення системи: EventID 6005 вказує на запуск системи, а EventID 6006 - на її вимкнення.

EventID 1102:

• Видалення журналу: Очищення журналів безпеки, що часто є сигналом приховування злочинних дій.

EventIDs для відстеження USB-пристроїв:

• 20001 / 20003 / 10000: Перше підключення USB-пристрою.
• 10100: Оновлення драйвера USB.
• EventID 112: Час вставлення USB-пристрою.

Для практичних прикладів імітації цих типів входу та можливостей витягування облікових даних див. докладний посібник Altered Security.

Деталі подій, включаючи коди статусу та підкоди статусу, надають додаткові відомості про причини подій, особливо помітні в Event ID 4625.

Відновлення подій Windows

Для підвищення шансів відновлення видалених подій Windows рекомендується вимкнути підозрілий комп'ютер, відключивши його безпосередньо. Рекомендовано використовувати інструмент відновлення Bulk_extractor, який вказує розширення .evtx, для спроби відновлення таких подій.

Виявлення загальних атак через події Windows

Для докладного посібника з використання ідентифікаторів подій Windows для виявлення загальних кібератак відвідайте Red Team Recipe.

Атаки перебору

Визначаються кількома записами EventID 4625, за якими слідує EventID 4624 у разі успіху атаки.

Зміна часу

Записується за допомогою EventID 4616, зміни часу системи можуть ускладнити судово-слідчий аналіз.

Відстеження USB-пристроїв

Корисні системні EventIDs для відстеження USB-пристроїв включають 20001/20003/10000 для початкового використання, 10100 для оновлення драйверів та EventID 112 від DeviceSetupManager для відміток часу вставлення.

Події живлення системи

EventID 6005 вказує на запуск системи, тоді як EventID 6006 позначає вимкнення.

Видалення журналів

Подія безпеки EventID 1102 сигналізує про видалення журналів, що є критичною подією для судової експертизи.

{% embed url="https://websec.nl/" %}