hacktricks/forensics/basic-forensic-methodology/windows-forensics

Αρχεία Windows

Αρχεία Windows

{% hint style="success" %} Μάθετε & εξασκηθείτε στο Hacking του AWS:Εκπαίδευση HackTricks AWS Red Team Expert (ARTE)
Μάθετε & εξασκηθείτε στο Hacking του GCP: Εκπαίδευση HackTricks GCP Red Team Expert (GRTE)

Υποστηρίξτε το HackTricks

• Ελέγξτε τα σχέδια συνδρομής!
• Εγγραφείτε 💬 στην ομάδα Discord ή στην ομάδα telegram ή ακολουθήστε μας στο Twitter 🐦 @hacktricks_live.
• Μοιραστείτε κόλπα χάκερ κάνοντας υποβολή PRs στα αποθετήρια HackTricks και HackTricks Cloud.

{% endhint %}

{% embed url="https://websec.nl/" %}

Γενικά Αρχεία Windows

Ειδοποιήσεις Windows 10

Στη διαδρομή \Users\<όνομα_χρήστη>\AppData\Local\Microsoft\Windows\Notifications μπορείτε να βρείτε τη βάση δεδομένων appdb.dat (πριν το Windows Anniversary) ή wpndatabase.db (μετά το Windows Anniversary).

Μέσα σε αυτή τη βάση δεδομένων SQLite, μπορείτε να βρείτε τον πίνακα Notification με όλες τις ειδοποιήσεις (σε μορφή XML) που μπορεί να περιέχουν ενδιαφέρουσες πληροφορίες.

Χρονολόγιο

Το Χρονολόγιο είναι μια χαρακτηριστική λειτουργία των Windows που παρέχει χρονολογική ιστορία των επισκεφθέντων ιστοσελίδων, επεξεργασμένων εγγράφων και εκτελεσμένων εφαρμογών.

Η βάση δεδομένων βρίσκεται στη διαδρομή \Users\<όνομα_χρήστη>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db. Αυτή η βάση δεδομένων μπορεί να ανοιχτεί με ένα εργαλείο SQLite ή με το εργαλείο WxTCmd το οποίο δημιουργεί 2 αρχεία που μπορούν να ανοίξουν με το εργαλείο TimeLine Explorer.

ADS (Εναλλακτικά Ρεύματα Δεδομένων)

Τα αρχεία που λήφθηκαν μπορεί να περιέχουν το ADS Zone.Identifier που υποδεικνύει πώς λήφθηκε από το εσωτερικό δίκτυο, το internet, κλπ. Κάποιο λογισμικό (όπως οι περιηγητές) συνήθως προσθέτουν ακόμη περισσότερες πληροφορίες όπως η διεύθυνση URL από όπου λήφθηκε το αρχείο.

Αντίγραφα Ασφαλείας Αρχείων

Κάδος Ανακύκλωσης

Στα Vista/Win7/Win8/Win10 ο Κάδος Ανακύκλωσης βρίσκεται στον φάκελο $Recycle.bin στη ρίζα του δίσκου (C:\$Recycle.bin).
Όταν ένα αρχείο διαγράφεται σε αυτόν τον φάκελο δημιουργούνται 2 συγκεκριμένα αρχεία:

• $I{id}: Πληροφορίες αρχείου (ημερομηνία διαγραφής)
• $R{id}: Περιεχόμενο του αρχείου

Έχοντας αυτά τα αρχεία μπορείτε να χρησιμοποιήσετε το εργαλείο Rifiuti για να λάβετε την αρχική διεύθυνση των διαγεγραμμένων αρχείων και την ημερομηνία διαγραφής (χρησιμοποιήστε το rifiuti-vista.exe για Vista – Win10).

.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle

Αντίγραφα Σκιών Όγκου

Το Shadow Copy είναι μια τεχνολογία που περιλαμβάνεται στα Microsoft Windows και μπορεί να δημιουργήσει αντίγραφα ασφαλείας ή στιγμιότυπα αρχείων ή όγκων υπολογιστή, ακόμα και όταν χρησιμοποιούνται.

Αυτά τα αντίγραφα ασφαλείας συνήθως βρίσκονται στο \System Volume Information από τη ρίζα του συστήματος αρχείων και το όνομά τους αποτελείται από τα UIDs που φαίνονται στην παρακάτω εικόνα:

Με την τοποθέτηση της εικόνας ανάκτησης με το ArsenalImageMounter, το εργαλείο ShadowCopyView μπορεί να χρησιμοποιηθεί για να επιθεωρήσει ένα αντίγραφο σκιάς και ακόμα και να εξάγει τα αρχεία από τα αντίγραφα ασφαλείας της σκιάς.

Η καταχώρηση του μητρώου HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore περιέχει τα αρχεία και τα κλειδιά που δεν πρέπει να δημιουργηθούν αντίγραφα ασφαλείας:

Το μητρώο HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS περιέχει επίσης πληροφορίες διαμόρφωσης σχετικά με τα Volume Shadow Copies.

Αρχεία Αυτόματης Αποθήκευσης Office

Μπορείτε να βρείτε τα αρχεία αυτόματης αποθήκευσης του Office στο: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\

Στοιχεία Κελιών

Ένα στοιχείο κελιού είναι ένα στοιχείο που περιέχει πληροφορίες σχετικά με το πώς να έχετε πρόσβαση σε ένα άλλο αρχείο.

Πρόσφατα Έγγραφα (LNK)

Τα Windows δημιουργούν αυτόματα αυτές τις συντομεύσεις όταν ο χρήστης ανοίγει, χρησιμοποιεί ή δημιουργεί ένα αρχείο σε:

• Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
• Office: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\

Όταν δημιουργείται ένας φάκελος, δημιουργείται επίσης μια σύνδεση με τον φάκελο, με τον γονικό φάκελο και τον προγονικό φάκελο.

Αυτά τα αρχεία συντομεύσεων που δημιουργούνται αυτόματα περιέχουν πληροφορίες σχετικά με την προέλευση, όπως αν πρόκειται για αρχείο ή φάκελο, χρόνοι MAC του αρχείου αυτού, πληροφορίες όγκου για το πού αποθηκεύεται το αρχείο και φάκελος του αρχείου-στόχου. Αυτές οι πληροφορίες μπορούν να είναι χρήσιμες για την ανάκτηση αυτών των αρχείων σε περίπτωση που αφαιρεθούν.

Επίσης, η ημερομηνία δημιουργίας της σύνδεσης είναι η πρώτη φορά που το αρχικό αρχείο χρησιμοποιήθηκε και η ημερομηνία τροποποίησης της σύνδεσης είναι η τελευταία φορά που χρησιμοποιήθηκε το αρχικό αρχείο.

Για να επιθεωρήσετε αυτά τα αρχεία μπορείτε να χρησιμοποιήσετε το LinkParser.

Σε αυτό το εργαλείο θα βρείτε 2 σύνολα χρονοσφραγίδων:

• Πρώτο Σύνολο:

1. FileModifiedDate
2. FileAccessDate
3. FileCreationDate

• Δεύτερο Σύνολο:

1. LinkModifiedDate
2. LinkAccessDate
3. LinkCreationDate.

Το πρώτο σύνολο χρονοσφραγίδων αναφέρεται στις χρονοσφραγίδες του ίδιου του αρχείου. Το δεύτερο σύνολο αναφέρεται στις χρονοσφραγίδες του συνδεδεμένου αρχείου.

Μπορείτε να λάβετε τις ίδιες πληροφορίες εκτελώντας το εργαλείο γραμμής εντολών των Windows: LECmd.exe

LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs

Jumplists

Αυτά είναι τα πρόσφατα αρχεία που εμφανίζονται ανά εφαρμογή. Είναι η λίστα με τα πρόσφατα αρχεία που χρησιμοποιήθηκαν από μια εφαρμογή στην οποία μπορείτε να έχετε πρόσβαση σε κάθε εφαρμογή. Μπορεί να δημιουργηθούν αυτόματα ή να είναι προσαρμοσμένα.

Τα jumplists που δημιουργούνται αυτόματα αποθηκεύονται στο C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\. Τα jumplists έχουν ονόματα που ακολουθούν τη μορφή {id}.autmaticDestinations-ms όπου το αρχικό ID είναι το ID της εφαρμογής.

Τα προσαρμοσμένα jumplists αποθηκεύονται στο C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\ και δημιουργούνται από την εφαρμογή συνήθως επειδή κάτι σημαντικό συνέβη με το αρχείο (ίσως έχει επισημανθεί ως αγαπημένο).

Ο χρόνος δημιουργίας οποιουδήποτε jumplist υποδεικνύει την πρώτη φορά που ανακτήθηκε το αρχείο και ο χρόνος τροποποίησης την τελευταία φορά.

Μπορείτε να επιθεωρήσετε τα jumplists χρησιμοποιώντας το JumplistExplorer.

(Σημειώστε ότι οι χρονοσφραγίδες που παρέχονται από το JumplistExplorer σχετίζονται με το ίδιο το αρχείο jumplist)

Shellbags

Ακολουθήστε αυτόν τον σύνδεσμο για να μάθετε τι είναι τα shellbags.

Χρήση USB στα Windows

Είναι δυνατόν να αναγνωρίσετε ότι χρησιμοποιήθηκε μια συσκευή USB χάρη στη δημιουργία:

• Φακέλου Windows Recent
• Φακέλου Microsoft Office Recent
• Jumplists

Σημειώστε ότι μερικά αρχεία LNK αντί να δείχνουν στην αρχική διαδρομή, δείχνουν στον φάκελο WPDNSE:

Τα αρχεία στον φάκελο WPDNSE είναι αντίγραφα των πρωτότυπων, οπότε δεν επιβιώνουν μετά από επανεκκίνηση του Η/Υ και το GUID προέρχεται από ένα shellbag.

Πληροφορίες Μητρώου

Ελέγξτε αυτήν τη σελίδα για να μάθετε ποια κλειδιά μητρώου περιέχουν ενδιαφέρουσες πληροφορίες σχετικά με συνδεδεμένες συσκευές USB.

setupapi

Ελέγξτε το αρχείο C:\Windows\inf\setupapi.dev.log για να λάβετε τις χρονοσφραγίδες σχετικά με πότε παράχθηκε η σύνδεση USB (αναζητήστε το Section start).

USB Detective

USBDetective μπορεί να χρησιμοποιηθεί για να λάβετε πληροφορίες σχετικά με τις USB συσκευές που έχουν συνδεθεί σε μια εικόνα.

Καθαρισμός Plug and Play

Η προγραμματισμένη εργασία γνωστή ως 'Plug and Play Cleanup' σχεδιάστηκε κυρίως για την αφαίρεση παλαιών εκδόσεων οδηγών. Αντίθετα με τον καθορισμένο σκοπό της διατήρησης της τελευταίας έκδοσης πακέτου οδηγών, διαδικτυακές πηγές υποδηλώνουν ότι στοχεύει επίσης σε οδηγούς που έχουν μείνει ανενεργοί για 30 ημέρες. Ως εκ τούτου, οδηγοί για αφαιρούμενες συσκευές που δεν έχουν συνδεθεί τις τελευταίες 30 ημέρες μπορεί να υπόκεινται σε διαγραφή.

Η εργασία βρίσκεται στην ακόλουθη διαδρομή: C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup.

Παρέχεται στιγμιότυπο οθόνης που απεικονίζει το περιεχόμενο της εργασίας:

Βασικά Στοιχεία και Ρυθμίσεις της Εργασίας:

• pnpclean.dll: Αυτή η DLL είναι υπεύθυνη για την πραγματική διαδικασία καθαρισμού.
• UseUnifiedSchedulingEngine: Ορίζεται σε TRUE, υποδηλώνοντας τη χρήση της γενικής μηχανής προγραμματισμού εργασιών.
• MaintenanceSettings:
• Περίοδος ('P1M'): Καθοδηγεί τον Προγραμματιστή Εργασιών να ξεκινήσει την εργασία καθαρισμού μηνιαία κατά την κανονική αυτόματη συντήρηση.
• Προθεσμία ('P2M'): Οδηγεί τον Προγραμματιστή Εργασιών, αν η εργασία αποτύχει για δύο συνεχόμενους μήνες, να εκτελέσει την εργασία κατά την έκτακτη αυτόματη συντήρηση.

Αυτή η ρύθμιση εξασφαλίζει την τακτική συντήρηση και καθαρισμό των οδηγών, με προβλέψεις για επανάληψη της εργασίας σε περίπτωση συνεχόμενων αποτυχιών.

Για περισσότερες πληροφορίες ελέγξτε: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html

Emails

Τα emails περιέχουν 2 ενδιαφέρουσες μερικές: Τα headers και το περιεχόμενο του email. Στα headers μπορείτε να βρείτε πληροφορίες όπως:

• Ποιος έστειλε τα emails (διεύθυνση email, IP, διακομιστές email που έχουν ανακατευτεί στο email)
• Πότε αποστάλθηκε το email

Επίσης, μέσα στα headers References και In-Reply-To μπορείτε να βρείτε το ID των μηνυμάτων:

Εφαρμογή Ηλεκτρονικού Ταχυδρομείου των Windows

Αυτή η εφαρμογή αποθηκεύει τα emails σε μορφή HTML ή κειμένου. Μπορείτε να βρείτε τα emails μέσα σε υποφακέλους μέσα στον \Users\<username>\AppData\Local\Comms\Unistore\data\3\. Τα emails αποθηκεύονται με την επέκταση .dat.

Τα μεταδεδομένα των emails και οι επαφές μπορούν να βρεθούν μέσα στη βάση δεδομένων EDB: \Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol

Αλλάξτε την επέκταση του αρχείου από .vol σε .edb και μπορείτε να χρησιμοποιήσετε το εργαλείο ESEDatabaseView για να το ανοίξετε. Μέσα στον πίνακα Message μπορείτε να δείτε τα emails.

Microsoft Outlook

Όταν χρησιμοποιούνται διακομιστές Exchange ή πελάτες Outlook θα υπάρχουν κάποια MAPI headers:

• Mapi-Client-Submit-Time: Ώρα του συστήματος όταν αποστάλθηκε το email
• Mapi-Conversation-Index: Αριθμός παιδιών μηνυμάτων του νήματος και χρονοσφραγίδα κάθε μηνύματος του νήματος
• Mapi-Entry-ID: Αναγνωριστικό μηνύματος.
• Mappi-Message-Flags και Pr_last_Verb-Executed: Πληροφορίες σχετικά με τον πελάτη MAPI (μήνυμα διαβασμ

Αρχεία Microsoft Outlook OST

Ένα αρχείο OST δημιουργείται από το Microsoft Outlook όταν ρυθμίζεται με IMAP ή έναν διακομιστή Exchange, αποθηκεύοντας παρόμοιες πληροφορίες με ένα αρχείο PST. Αυτό το αρχείο συγχρονίζεται με τον διακομιστή, διατηρώντας δεδομένα για τους τελευταίους 12 μήνες έως μέγιστο μέγεθος 50GB, και βρίσκεται στον ίδιο φάκελο με το αρχείο PST. Για να δείτε ένα αρχείο OST, μπορεί να χρησιμοποιηθεί το Πρόγραμμα προβολής OST του Kernel.

Ανάκτηση Συνημμένων

Τα χαμένα συνημμένα μπορεί να ανακτηθούν από:

• Για IE10: %APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook
• Για IE11 και νεότερα: %APPDATA%\Local\Microsoft\InetCache\Content.Outlook

Αρχεία MBOX του Thunderbird

Το Thunderbird χρησιμοποιεί αρχεία MBOX για την αποθήκευση δεδομένων, τα οποία βρίσκονται στη διαδρομή \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles.

Μικρογραφίες Εικόνων

• Windows XP και 8-8.1: Η πρόσβαση σε ένα φάκελο με μικρογραφίες δημιουργεί ένα αρχείο thumbs.db που αποθηκεύει προεπισκοπήσεις εικόνων, ακόμη και μετά τη διαγραφή τους.
• Windows 7/10: Το thumbs.db δημιουργείται όταν γίνεται πρόσβαση μέσω δικτύου μέσω διαδρομής UNC.
• Windows Vista και νεότερα: Οι προεπισκοπήσεις μικρογραφιών είναι κεντρικοποιημένες στο %userprofile%\AppData\Local\Microsoft\Windows\Explorer με αρχεία με τα ονόματα thumbcache_xxx.db. Τα εργαλεία Thumbsviewer και ThumbCache Viewer χρησιμοποιούνται για την προβολή αυτών των αρχείων.

Πληροφορίες Καταγραφής των Windows

Το Μητρώο των Windows, που αποθηκεύει εκτεταμένα δεδομένα δραστηριότητας συστήματος και χρήστη, περιέχεται σε αρχεία σε:

• %windir%\System32\Config για διάφορα υποκλειδιά HKEY_LOCAL_MACHINE.
• %UserProfile%{User}\NTUSER.DAT για το HKEY_CURRENT_USER.
• Τα Windows Vista και μεταγενέστερες εκδόσεις δημιουργούν αντίγραφα ασφαλείας των αρχείων καταγραφής HKEY_LOCAL_MACHINE στο %Windir%\System32\Config\RegBack\.
• Επιπλέον, πληροφορίες εκτέλεσης προγραμμάτων αποθηκεύονται στο %UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT από τα Windows Vista και τα Windows 2008 Server και μετά.

Εργαλεία

Κάποια εργαλεία είναι χρήσιμα για την ανάλυση των αρχείων καταγραφής:

• Επεξεργαστής Μητρώου: Είναι εγκατεστημένος στα Windows. Είναι μια γραφική διεπαφή για την περιήγηση στο μητρώο των Windows της τρέχουσας συνεδρίας.
• Εξερευνητής Μητρώου: Σας επιτρέπει να φορτώσετε το αρχείο μητρώου και να περιηγηθείτε μέσω του με μια γραφική διεπαφή. Περιλαμβάνει επίσης Σελιδοδείκτες που επισημαίνουν κλειδιά με ενδιαφέρουσες πληροφορίες.
• RegRipper: Και πάλι, διαθέτει μια γραφική διεπαφή που επιτρέπει την περιήγηση μέσω του φορτωμένου μητρώου και περιλαμβάνει εξαρτήματα που επισημαίνουν ενδιαφέρουσες πληροφορίες μέσα στο φορτωμένο μητρώο.
• Ανάκτηση Μητρώου των Windows: Ένα άλλο εφαρμογή με γραφική διεπαφή ικανή να εξάγει τις σημαντικές πληροφορίες από το φορτωμένο μητρώο.

Ανάκτηση Διαγραμμένου Στοιχείου

Όταν ένα κλειδί διαγράφεται, σημειώνεται ως τέτοιο, αλλά μέχρι να χρειαστεί ο χώρος που καταλαμβάνει δεν θα αφαιρεθεί. Συνεπώς, χρησιμοποιώντας εργαλεία όπως ο Εξερευνητής Μητρώου είναι δυνατή η ανάκτηση αυτών των διαγραμμένων κλειδιών.

Τελευταία Ώρα Εγγραφής

Κάθε Κλειδί-Τιμή περιέχει ένα χρονικό σήμα που υποδεικνύει την τελευταία φορά που τροποποιήθηκε.

SAM

Το αρχείο/κοιτίδα SAM περιέχει τις κατακευές χρηστών, ομάδων και κωδικών πρόσβασης χρηστών του συστήματος.

Στο SAM\Domains\Account\Users μπορείτε να αποκτήσετε το όνομα χρήστη, το RID, την τελευταία σύνδεση, την τελευταία αποτυχημένη σύνδεση, το μετρητή σύνδεσης, την πολιτική κωδικού πρόσβασης και πότε δημιουργήθηκε ο λογαριασμός. Για να λάβετε τις κατακευές χρειάζεστε επίσης το αρχείο/κοιτίδα SYSTEM.

Ενδιαφέρουσες καταχωρήσεις στο Μητρώο των Windows

{% content-ref url="interesting-windows-registry-keys.md" %} interesting-windows-registry-keys.md {% endcontent-ref %}

Εκτελούμενα Προγράμματα

Βασικές Διεργασίες των Windows

Σε αυτήν την ανάρτηση μπορείτε να μάθετε για τις κοινές διεργασίες των Windows για την ανίχνευση ύποπτων συμπεριφορών.

Πρόσφατες Εφαρμογές των Windows

Μέσα στο μητρώο NTUSER.DAT στη διαδρομή Software\Microsoft\Current Version\Search\RecentApps μπορείτε να βρείτε υποκλειδιά με πληροφορίες σχετικά με την εκτελεσμένη εφαρμογή, την τελευταία φορά που εκτελέστηκε, και τον αριθμό των φορών που εκτελέστηκε.

BAM (Διαχειριστής Φόντου Δραστηριότητας)

Μπορείτε να ανοίξετε το αρχείο SYSTEM με έναν επεξεργαστή μητρώου και μέσα στη διαδρομή SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} μπορείτε να βρείτε πληροφορίες σχετικά με τις εφαρμογές που εκτελέστηκαν από κάθε χρήστη (σημειώστε το {SID} στη διαδρομή) και την ώρα που εκτελέστηκαν (η ώρα βρίσκεται μέσα στην τιμή Δεδομένων του μητρώου).

Προεπιλογή των Windows

Η προεπιλογή είναι μια τεχνική που επιτρέπει σε έναν υπολογιστή να φέρνει σιωπηλά τους απαραίτητους πόρους που χρειάζονται για να εμφανίσει περιεχόμενο που ένας χρήστης μπορεί να έχει πρόσβαση στο εγγύς μέλλον ώστε οι πόροι να μπορούν να προσπελαστούν πιο γρήγορα.

Η προεπιλογή των Windows αποτελείται από τη δημιουργία προσωρινών αποθεμάτων των εκτελούμενων προγραμμάτων για να μπορούν να φορτωθούν πιο γρήγορα. Αυτά τα αποθέματα δημιουργούνται ως αρχεία .pf μέσα στη διαδρομή: C:\Windows\Prefetch. Υπάρχει ένα όριο 128 αρχείων σε XP/VISTA/W

.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"

Superprefetch

Superprefetch έχει τον ίδιο στόχο με το prefetch, φορτώνει προγράμματα γρηγορότερα προβλέποντας τι θα φορτωθεί επόμενο. Ωστόσο, δεν αντικαθιστά την υπηρεσία prefetch.
Αυτή η υπηρεσία θα δημιουργήσει αρχεία βάσης δεδομένων στο C:\Windows\Prefetch\Ag*.db.

Σε αυτές τις βάσεις δεδομένων μπορείτε να βρείτε το όνομα του προγράμματος, το αριθμό των εκτελέσεων, τα αρχεία που άνοιξε, το όγκο που άρχισε, την πλήρη διαδρομή, τα χρονικά πλαίσια και τις σημάνσεις χρόνου.

Μπορείτε να έχετε πρόσβαση σε αυτές τις πληροφορίες χρησιμοποιώντας το εργαλείο CrowdResponse.

SRUM

Το System Resource Usage Monitor (SRUM) παρακολουθεί τους πόρους που καταναλώνονται από ένα διεργασία. Εμφανίστηκε στο W8 και αποθηκεύει τα δεδομένα σε μια βάση δεδομένων ESE που βρίσκεται στο C:\Windows\System32\sru\SRUDB.dat.

Παρέχει τις ακόλουθες πληροφορίες:

• AppID και Διαδρομή
• Χρήστης που εκτέλεσε τη διεργασία
• Απεσταλμένα Bytes
• Ληφθέντα Bytes
• Διεπαφή Δικτύου
• Διάρκεια σύνδεσης
• Διάρκεια διεργασίας

Αυτές οι πληροφορίες ενημερώνονται κάθε 60 λεπτά.

Μπορείτε να αποκτήσετε τα δεδομένα από αυτό το αρχείο χρησιμοποιώντας το εργαλείο srum_dump.

.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum

AppCompatCache (ShimCache)

Το AppCompatCache, επίσης γνωστό ως ShimCache, αποτελεί μέρος της Βάσης Δεδομένων Συμβατότητας Εφαρμογών που αναπτύχθηκε από τη Microsoft για την αντιμετώπιση θεμάτων συμβατότητας εφαρμογών. Αυτό το συστατικό συστήματος καταγράφει διάφορα κομμάτια μεταδεδομένων αρχείων, τα οποία περιλαμβάνουν:

• Πλήρη διαδρομή του αρχείου
• Μέγεθος του αρχείου
• Τελευταία τροποποίηση ώρας στο $Standard_Information (SI)
• Τελευταία ενημέρωση ώρας του ShimCache
• Σημαία Εκτέλεσης Διεργασίας

Τα δεδομένα αυτά αποθηκεύονται στο μητρώο σε συγκεκριμένες τοποθεσίες με βάση την έκδοση του λειτουργικού συστήματος:

• Για τα XP, τα δεδομένα αποθηκεύονται στο SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache με χωρητικότητα 96 καταχωρήσεων.
• Για το Server 2003, καθώς και για τις εκδόσεις των Windows 2008, 2012, 2016, 7, 8 και 10, η διαδρομή αποθήκευσης είναι SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache, με χωρητικότητα 512 και 1024 καταχωρήσεων αντίστοιχα.

Για την ανάλυση των αποθηκευμένων πληροφοριών, συνιστάται η χρήση του εργαλείου AppCompatCacheParser.

Amcache

Το αρχείο Amcache.hve είναι ουσιαστικά ένα αρχείο καταχώρησης μητρώου που καταγράφει λεπτομέρειες σχετικά με εφαρμογές που έχουν εκτελεστεί σε ένα σύστημα. Συνήθως βρίσκεται στο C:\Windows\AppCompat\Programas\Amcache.hve.

Αυτό το αρχείο είναι σημαντικό για την αποθήκευση εγγραφών πρόσφατα εκτελεσμένων διεργασιών, συμπεριλαμβανομένων των διαδρομών προς τα εκτελέσιμα αρχεία και των SHA1 hashes τους. Αυτές οι πληροφορίες είναι ανεκτίμητες για την παρακολούθηση της δραστηριότητας των εφαρμογών σε ένα σύστημα.

Για την εξαγωγή και ανάλυση των δεδομένων από το Amcache.hve, μπορεί να χρησιμοποιηθεί το εργαλείο AmcacheParser. Το παρακάτω παράδειγμα είναι ένας τρόπος χρήσης του AmcacheParser για την ανάλυση των περιεχομένων του αρχείου Amcache.hve και την έξοδο των αποτελεσμάτων σε μορφή CSV:

AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder

Ανάμεσα στα δημιουργημένα αρχεία CSV, το Amcache_Unassociated file entries ξεχωρίζει ιδιαίτερα λόγω των πλούσιων πληροφοριών που παρέχει σχετικά με τις μη συσχετισμένες καταχωρήσεις αρχείων.

Το πιο ενδιαφέρον αρχείο CVS που δημιουργείται είναι το Amcache_Unassociated file entries.

RecentFileCache

Αυτό το αρχείο μπορεί να βρεθεί μόνο στα W7 στη διαδρομή C:\Windows\AppCompat\Programs\RecentFileCache.bcf και περιέχει πληροφορίες σχετικά με την πρόσφατη εκτέλεση ορισμένων δυαδικών αρχείων.

Μπορείτε να χρησιμοποιήσετε το εργαλείο RecentFileCacheParse για την ανάλυση του αρχείου.

Προγραμματισμένες εργασίες

Μπορείτε να τις εξάγετε από C:\Windows\Tasks ή C:\Windows\System32\Tasks και να τις διαβάσετε ως XML.

Υπηρεσίες

Μπορείτε να τις βρείτε στο μητρώο κάτω από SYSTEM\ControlSet001\Services. Μπορείτε να δείτε τι θα εκτελεστεί και πότε.

Windows Store

Οι εγκατεστημένες εφαρμογές μπορούν να βρεθούν στη διαδρομή \ProgramData\Microsoft\Windows\AppRepository\
Αυτό το αποθετήριο έχει ένα αρχείο καταγραφής με κάθε εγκατεστημένη εφαρμογή στο σύστημα μέσα στη βάση δεδομένων StateRepository-Machine.srd.

Μέσα στον πίνακα Εφαρμογή αυτής της βάσης δεδομένων, είναι δυνατόν να βρείτε τις στήλες: "Ταυτότητα Εφαρμογής", "Αριθμός Πακέτου" και "Εμφανιζόμενο Όνομα". Αυτές οι στήλες περιέχουν πληροφορίες σχετικά με προεγκατεστημένες και εγκατεστημένες εφαρμογές και μπορεί να διαπιστωθεί αν κάποιες εφαρμογές απεγκαταστάθηκαν επειδή οι ταυτότητες των εγκατεστημένων εφαρμογών πρέπει να είναι συνεχόμενες.

Είναι επίσης δυνατόν να βρείτε εγκατεστημένες εφαρμογές στη διαδρομή του μητρώου: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\
Και απεγκατεστημένες εφαρμογές στο: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\

Γεγονότα Windows

Οι πληροφορίες που εμφανίζονται στα γεγονότα των Windows είναι:

• Τι συνέβη
• Χρονική σήμανση (UTC + 0)
• Χρήστες που εμπλέκονται
• Συστήματα που εμπλέκονται (όνομα κεντρικού υπολογιστή, IP)
• Πόροι που ανατέθηκαν (αρχεία, φάκελοι, εκτυπωτές, υπηρεσίες)

Τα αρχεία καταγραφής βρίσκονται στη διαδρομή C:\Windows\System32\config πριν τα Windows Vista και στη διαδρομή C:\Windows\System32\winevt\Logs μετά τα Windows Vista. Πριν τα Windows Vista, τα αρχεία καταγραφής γεγονότων ήταν σε δυαδική μορφή και μετά από αυτό, είναι σε μορφή XML και χρησιμοποιούν την επέκταση .evtx.

Η τοποθεσία των αρχείων γεγονότων μπορεί να βρεθεί στο μητρώο SYSTEM στο HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}

Μπορούν να οπτικοποιηθούν από τον Προβολέα Γεγονότων των Windows (eventvwr.msc) ή με άλλα εργαλεία όπως το Event Log Explorer ή Evtx Explorer/EvtxECmd.

Κατανόηση της Καταγραφής Γεγονότων Ασφάλειας των Windows

Τα γεγονότα πρόσβασης καταγράφονται στο αρχείο ρύθμισης ασφαλείας που βρίσκεται στη διαδρομή C:\Windows\System32\winevt\Security.evtx. Το μέγεθος αυτού του αρχείου είναι προσαρμόσιμο και όταν φτάσει στη χωρητικότητά του, τα παλαιότερα γεγονότα αντικαθίστανται. Τα καταγεγραμμένα γεγονότα περιλαμβάνουν συνδέσεις και αποσυνδέσεις χρηστών, ενέργειες χρηστών και αλλαγές στις ρυθμίσεις ασφαλείας, καθώς και πρόσβαση σε αρχεία, φακέλους και κοινόχρηστους πόρους.

Κύρια IDs Γεγονότων για Αυθεντικοποίηση Χρήστη:

• EventID 4624: Υποδεικνύει επιτυχή αυθεντικοποίηση χρήστη.
• EventID 4625: Σημαίνει αποτυχία αυθεντικοποίησης.
• EventIDs 4634/4647: Αντιπροσωπεύουν γεγονότα αποσύνδεσης χρήστη.
• EventID 4672: Δηλώνει σύνδεση με διαχειριστικά προνόμια.

Υπο-τύποι εντός EventID 4634/4647:

• Διαδραστικό (2): Άμεση σύνδεση χρήστη.
• Δίκτυο (3): Πρόσβαση σε κοινόχρηστους φακέλους.
• Παρτίδα (4): Εκτέλεση διεργασιών παρτίδας.
• Υπηρεσία (5): Εκκίνηση υπηρεσιών.
• Προξενητική (6): Πιστοποίηση προξενητή.
• Ξεκλείδωμα (7): Ξεκλείδωμα οθόνης με κωδικό πρόσβασης.
• Δίκτυο Καθαρού Κειμένου (8): Μετάδοση κωδικού πρόσβασης καθαρού κειμένου, συχνά από το IIS.
• Νέα Διαπιστευτήρια (9): Χρήση διαφορετικών διαπιστευτηρίων για πρόσβαση.
• Απομακρυσμένη Διαδραστική (10): Σύνδεση από απόσταση μέσω επιφάνειας εργασίας ή υπηρεσιών τερματικού.
• Διαδραστικός Κρυφός Προσωρινός (11): Σύνδεση με κρυφά διαπιστευτήρια χωρίς επικοινωνία με ελεγκτή τομέα.
• Απομακρυσμένο Διαδραστικό Κρυφός (12): Απομακρυσμένη σύνδεση με κρυφά διαπιστευτήρια.
• Κρυφό Ξεκλείδωμα (13): Ξεκλείδωμα με κρυφά διαπιστευτήρια.

Κωδικοί Κατάστασης και Υπο-Κωδικοί για το EventID 4625:

• 0xC0000064: Το όνομα χρήστη δεν υπάρχει - Μπορεί να υποδεικνύει επίθεση απαρίθμησης ονομάτων χρηστών.
• 0xC000006A: Σωστό όνομα χρήστη αλλά λάθος κωδικός πρόσβασης - Πιθανή προσπάθεια μαντεψιάς κωδικού ή επίθεση με βία.
• 0xC0000234: Ο λογαριασμός χρήστη έχει κλειδωθεί - Μπορεί να ακολουθήσει μια επίθεση με πολλαπλές αποτυχημένες συνδέσεις.
• 0xC0000072: Ο λογαριασμός είναι απενεργοποιημένος - Μη εξουσιοδοτημένες προσπάθειες πρόσβασης σε απενεργοποιημένους λογαριασμούς.
• 0xC000006F: Σύνδεση εκτός επιτρεπόμενου χρόνου - Υποδεικνύει προσπάθειες πρόσβασης εκτός των ορισμένων ωρών σύνδεσης, πιθανό σημάδι μη εξουσιοδοτημένης πρόσβασης.
• 0xC0000070: Παραβίαση περιορισμών σταθμού εργασίας - Μπορεί να είναι μια προσπάθεια σύνδεσης από μη εξουσιοδοτημένη τοποθεσία.

Συμβάντα Τροφοδοσίας Συστήματος

Το EventID 6005 υποδεικνύει την εκκίνηση του συστήματος, ενώ το EventID 6006 σηματοδοτεί τον τερματισμό.

Διαγραφή Καταγραφών

Το EventID 1102 ασφαλείας σηματοδοτεί τη διαγραφή καταγραφών, ένα κρίσιμο συμβάν για την ανάλυση ψηφιακών αποδεικτικών στοιχείων.

{% embed url="https://websec.nl/" %}