mirror of https://github.com/carlospolop/hacktricks synced 2024-11-26 06:30:37 +00:00

History

Translator 4ee977c4e5 Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA		2024-04-07 05:33:57 +00:00
..
interesting-windows-registry-keys.md	Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA	2024-04-07 05:33:57 +00:00
README.md	Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/REA	2024-04-07 05:33:57 +00:00

README.md

Windows Artefakte

Leer AWS hak vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat Kyk na die INSKRYWINGSPLANNE!
Kry die amptelike PEASS & HackTricks swag
Ontdek Die PEASS Familie, ons versameling van eksklusiewe NFTs
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel jou haktruuks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.

Generiese Windows Artefakte

Windows 10 Kennisgewings

In die pad \Users\<gebruikersnaam>\AppData\Local\Microsoft\Windows\Notifications kan jy die databasis appdb.dat (voor Windows-herdenking) of wpndatabase.db (na Windows-herdenking) vind.

Binne hierdie SQLite-databasis kan jy die Kennisgewing-tabel vind met al die kennisgewings (in XML-formaat) wat interessante data kan bevat.

Tydlyn

Tydlyn is 'n Windows kenmerk wat 'n chronologiese geskiedenis van besoekte webblaaie, bewerkte dokumente, en uitgevoerde toepassings bied.

Die databasis bly in die pad \Users\<gebruikersnaam>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db. Hierdie databasis kan geopen word met 'n SQLite-instrument of met die instrument WxTCmd wat 2 lêers genereer wat geopen kan word met die instrument TimeLine Explorer.

ADS (Alternatiewe Datastrome)

Lêers wat afgelaai is, kan die ADS Zone.Identifier bevat wat aandui hoe dit vanaf die intranet, internet, ens. afgelaai is. Sommige sagteware (soos webblaaie) sit gewoonlik selfs meer inligting soos die URL waarvandaan die lêer afgelaai is.

Lêeragterplasings

Stortbak

In Vista/Win7/Win8/Win10 kan die Stortbak gevind word in die vouer $Recycle.bin in die wortel van die aandrywing (C:\$Recycle.bin).
Wanneer 'n lêer in hierdie vouer verwyder word, word 2 spesifieke lêers geskep:

$I{id}: Lêerinligting (datum van wanneer dit verwyder is)
$R{id}: Inhoud van die lêer

Met hierdie lêers kan jy die instrument Rifiuti gebruik om die oorspronklike adres van die verwyderde lêers en die datum waarop dit verwyder is, te kry (gebruik rifiuti-vista.exe vir Vista – Win10).

.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle

Skadukopieë

Skadukopie is 'n tegnologie wat ingesluit is in Microsoft Windows wat agterkopieë of afskrifte van rekenaar lêers of volumes kan skep, selfs wanneer hulle in gebruik is.

Hierdie agterkopieë is gewoonlik geleë in die \System Volume Information van die wortel van die lêersisteem en die naam is saamgestel uit UIDs soos in die volgende afbeelding:

Deur die forensiese beeld te monteer met die ArsenalImageMounter, kan die hulpmiddel ShadowCopyView gebruik word om 'n skadukopie te ondersoek en selfs lêers uit die skadukopie-agterkopieë te onttrek.

Die registerinskrywing HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore bevat die lêers en sleutels wat nie agterkopieë moet maak nie:

Die register HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS bevat ook konfigurasie-inligting oor die Volume Shadow Copies.

Kantoor Opgeslane Lêers

Jy kan die kantoor opgeslane lêers vind in: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\

Skuldelemente

'n Skuldelement is 'n item wat inligting bevat oor hoe om toegang tot 'n ander lêer te verkry.

Onlangse Dokumente (LNK)

Windows skep outomaties hierdie kortpaaie wanneer die gebruiker 'n lêer open, gebruik of skep in:

Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
Kantoor: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\

Wanneer 'n vouer geskep word, word 'n skakel na die vouer, na die ouervouer en die ouerouervouer ook geskep.

Hierdie outomaties geskepte skakellêers bevat inligting oor die oorsprong soos of dit 'n lêer of 'n vouer is, MAC tye van daardie lêer, volume-inligting waar die lêer gestoor word en vouer van die teikenvouer. Hierdie inligting kan nuttig wees om daardie lêers te herstel in die geval dat hulle verwyder is.

Ook is die skeppingstyd van die skakel lêer die eerste keer wat die oorspronklike lêer eerste gebruik is en die gewysigde datum van die skakel lêer is die laaste keer wat die oorspronklike lêer gebruik is.

Om hierdie lêers te ondersoek, kan jy LinkParser gebruik.

In hierdie hulpmiddels sal jy 2 stelle tydmerke vind:

Eerste Stel:

LêerGewysigdeDatum
LêerToegangsDatum
LêerSkeppingsDatum

Tweede Stel:

SkakelGewysigdeDatum
SkakelToegangsDatum
SkakelSkeppingsDatum.

Die eerste stel tydmerke verwys na die tydmerke van die lêer self. Die tweede stel verwys na die tydmerke van die gekoppelde lêer.

Jy kan dieselfde inligting kry deur die Windows CLI-hulpmiddel uit te voer: LECmd.exe

LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs

Springlyste

Dit is die onlangse lêers wat per toepassing aangedui word. Dit is die lys van onlangse lêers wat deur 'n toepassing gebruik is wat jy op elke toepassing kan raadpleeg. Hulle kan outomaties geskep word of aangepas wees.

Die springlyste wat outomaties geskep word, word gestoor in C:\Users\{gebruikersnaam}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\. Die springlyste word benoem volgens die formaat {id}.autmaticDestinations-ms waar die aanvanklike ID die ID van die toepassing is.

Die aangepaste springlyste word gestoor in C:\Users\{gebruikersnaam}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\ en hulle word gewoonlik deur die toepassing geskep omdat iets belangrik met die lêer gebeur het (miskien as gunsteling gemerk).

Die geskepte tyd van enige springlys dui die eerste keer aan dat die lêer benader is en die gewysigde tyd die laaste keer.

Jy kan die springlyste inspekteer met behulp van JumplistExplorer.

(Let daarop dat die tydmerke wat deur JumplistExplorer voorsien word, verband hou met die springlys lêer self)

Shellbags

Volg hierdie skakel om uit te vind wat die shellbags is.

Gebruik van Windows USB's

Dit is moontlik om te identifiseer dat 'n USB-toestel gebruik is danksy die skepping van:

Windows Onlangse Vouer
Microsoft Office Onlangse Vouer
Springlyste

Let daarop dat sommige LNK-lêers in plaas van na die oorspronklike pad te verwys, na die WPDNSE-vouer verwys:

Die lêers in die WPDNSE-vouer is 'n kopie van die oorspronklike lêers, sal dus nie oorleef 'n herbegin van die rekenaar nie en die GUID word geneem uit 'n shellbag.

Registreer Inligting

Kyk na hierdie bladsy om te leer watter register sleutels interessante inligting oor USB-aangeslote toestelle bevat.

setupapi

Kyk na die lêer C:\Windows\inf\setupapi.dev.log om die tydmerke te kry oor wanneer die USB-verbinding geproduseer is (soek vir Section start).

USB Detective

USBDetective kan gebruik word om inligting te verkry oor die USB-toestelle wat aan 'n beeld gekoppel was.

Inprop en Speel Skoonmaak

Die geskeduleerde taak wat bekend staan as 'Inprop en Speel Skoonmaak' is hoofsaaklik ontwerp vir die verwydering van verouderde bestuurderweergawes. In teenstelling met sy gespesifiseerde doel om die nuutste bestuurderpakketweergawe te behou, suggereer aanlynbronne dat dit ook mik op bestuurders wat vir 30 dae onaktief was. Gevolglik kan bestuurders vir verwyderbare toestelle wat nie in die afgelope 30 dae aangesluit is nie, onderwerp wees aan uitwissing.

Die taak is geleë by die volgende pad: C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup.

'n Skermkiekie wat die inhoud van die taak uitbeeld, word voorsien:

Sleutelkomponente en Instellings van die Taak:

pnpclean.dll: Hierdie DLL is verantwoordelik vir die werklike skoonmaakproses.
UseUnifiedSchedulingEngine: Gestel op TRUE, wat dui op die gebruik van die generiese taakbeplanningsenjin.
MaintenanceSettings:
Tydperk ('P1M'): Stuur die Taakbeplanner om die skoonmaaktaak maandeliks tydens gereelde Outomatiese instandhouding te begin.
Deurnooi ('P2M'): Instrueer die Taakbeplanner, as die taak vir twee opeenvolgende maande misluk, om die taak tydens noodsaaklike Outomatiese instandhouding uit te voer.

Hierdie konfigurasie verseker gereelde instandhouding en skoonmaak van bestuurders, met bepalings vir herpoging van die taak in geval van opeenvolgende mislukkings.

Vir meer inligting kyk na: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html

E-posse

E-posse bevat 2 interessante dele: Die koppe en die inhoud van die e-pos. In die koppe kan jy inligting soos vind:

Wie het die e-posse gestuur (e-posadres, IP, posdiensers wat die e-pos omgelei het)
Wanneer is die e-pos gestuur

Ook kan jy binne die Verwysings en In-Reply-To koppe die ID van die boodskappe vind:

Windows Pos App

Hierdie toepassing stoor e-posse in HTML of teks. Jy kan die e-posse binne subvouers binne \Users\<gebruikersnaam>\AppData\Local\Comms\Unistore\data\3\ vind. Die e-posse word gestoor met die .dat uitbreiding.

Die metadata van die e-posse en die kontakbesonderhede kan binne die EDB-databasis gevind word: \Users\<gebruikersnaam>\AppData\Local\Comms\UnistoreDB\store.vol

Verander die uitbreiding van die lêer van .vol na .edb en jy kan die instrument ESEDatabaseView gebruik om dit oop te maak. Binne die Boodskap tabel kan jy die e-posse sien.

Microsoft Outlook

Wanneer Exchange-bedieners of Outlook-kliënte gebruik word, gaan daar 'n paar MAPI-koppe wees:

Mapi-Client-Submit-Time: Tyd van die stelsel toe die e-pos gestuur is
Mapi-Conversation-Index: Aantal kinderboodskappe van die draad en tydmerk van elke boodskap van die draad
Mapi-Entry-ID: Boodskapidentifiseerder.
Mappi-Message-Flags en Pr_last_Verb-Executed: Inligting oor die MAPI-kliënt (boodskap gelees? nie gelees nie? geantwoord? omgelei? uit die kantoor?)

In die Microsoft Outlook-kliënt word al die gestuurde/ontvangsboodskappe, kontakdata, en kalenderdata gestoor in 'n PST-lêer in:

%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook (WinXP)
%USERPROFILE%\AppData\Local\Microsoft\Outlook

Die registerpad HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook dui aan watter lêer gebruik word.

Jy kan die PST-lêer oopmaak met die instrument Kernel PST Viewer.

Microsoft Outlook OST-lêers

'n OST-lêer word gegenereer deur Microsoft Outlook wanneer dit gekonfigureer is met IMAP of 'n Exchange-bediener, wat soortgelyke inligting as 'n PST-lêer stoor. Hierdie lêer word gesinkroniseer met die bediener, behou data vir die laaste 12 maande tot 'n maksimum grootte van 50GB, en word in dieselfde gids as die PST-lêer gevind. Om 'n OST-lêer te sien, kan die Kernel OST-aansig gebruik word.

Herwinning van Aanhangsels

Verlore aanhangsels kan herwin word vanaf:

Vir IE10: %APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook
Vir IE11 en hoër: %APPDATA%\Local\Microsoft\InetCache\Content.Outlook

Thunderbird MBOX-lêers

Thunderbird maak gebruik van MBOX-lêers om data te stoor, geleë by \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles.

Beeld Duimnaels

Windows XP en 8-8.1: Toegang tot 'n gids met duimnaels genereer 'n thumbs.db-lêer wat beeldvoorbeelde stoor, selfs na verwydering.
Windows 7/10: thumbs.db word geskep wanneer dit oor 'n netwerk via 'n UNC-paadjie benader word.
Windows Vista en nuwer: Duimnaelvoorbeelde is gesentraliseer in %userprofile%\AppData\Local\Microsoft\Windows\Explorer met lêers genaamd thumbcache_xxx.db. Thumbsviewer en ThumbCache Viewer is gereedskap vir die sien van hierdie lêers.

Windows Registerinligting

Die Windows-register, wat omvattende stelsel- en gebruikersaktiwiteitsdata stoor, word bevat binne lêers in:

%windir%\System32\Config vir verskeie HKEY_LOCAL_MACHINE subklasse.
%UserProfile%{User}\NTUSER.DAT vir HKEY_CURRENT_USER.
Windows Vista en nuwer weergawes maak 'n rugsteun van HKEY_LOCAL_MACHINE registerlêers in %Windir%\System32\Config\RegBack\.
Daarbenewens word programuitvoerinligting gestoor in %UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT vanaf Windows Vista en Windows 2008 Server aan.

Gereedskap

Sommige gereedskap is nuttig vir die analise van die registerlêers:

Registerredigeerder: Dit is geïnstalleer in Windows. Dit is 'n GUI om deur die Windows-register van die huidige sessie te navigeer.
Registerontdekker: Dit laat jou toe om die registerlêer te laai en daardeur te navigeer met 'n GUI. Dit bevat ook Bladmerke wat sleutels met interessante inligting beklemtoon.
RegRipper: Weereens, dit het 'n GUI wat toelaat om deur die gelaai register te navigeer en bevat ook aanvullings wat interessante inligting binne die gelaai register beklemtoon.
Windows Registerherwinning: 'n Ander GUI-toepassing wat in staat is om die belangrike inligting uit die gelaai register te onttrek.

Herwinning van Verwyderde Element

Wanneer 'n sleutel verwyder word, word dit as sodanig gemerk, maar totdat die spasie wat dit beset word benodig word, sal dit nie verwyder word nie. Daarom is dit moontlik om hierdie verwyderde sleutels te herwin deur gereedskap soos Registerontdekker te gebruik.

Laaste Skryftyd

Elke Sleutel-Waarde bevat 'n tydstempel wat die laaste keer aandui wat dit gewysig is.

SAM

Die lêer/hive SAM bevat die gebruikers, groepe en gebruikerswagwoorde hasjies van die stelsel.

In SAM\Domains\Account\Users kan jy die gebruikersnaam, die RID, laaste aanmelding, laaste mislukte aanmelding, aanmeldteller, wagwoordbeleid en wanneer die rekening geskep is, verkry. Om die hasjies te kry, het jy ook die lêer/hive SYSTEM nodig.

Interessante inskrywings in die Windows-register

{% content-ref url="interesting-windows-registry-keys.md" %} interesting-windows-registry-keys.md {% endcontent-ref %}

Programme Uitgevoer

Basiese Windows Prosesse

In hierdie pos kan jy leer oor die algemene Windows prosesse om verdagte gedrag te identifiseer.

Windows Onlangse Toepassings

Binne die register NTUSER.DAT in die pad Software\Microsoft\Current Version\Search\RecentApps kan jy subklasse met inligting oor die uitgevoerde toepassing, laaste keer wat dit uitgevoer is, en aantal kere wat dit afgeskop is, vind.

BAM (Agtergrondaktiwiteitsmoderator)

Jy kan die SYSTEM-lêer oopmaak met 'n registerredigeerder en binne die pad SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} kan jy die inligting oor die toepassings wat deur elke gebruiker uitgevoer is vind (let op die {SID} in die pad) en wanneer hulle uitgevoer is (die tyd is binne die Data-waarde van die register).

Windows Prefetch

Prefetching is 'n tegniek wat 'n rekenaar stilweg toelaat om die nodige hulpbronne wat nodig is om inhoud te vertoon wat 'n gebruiker moontlik binnekort kan toegang om hulpbronne vinniger toeganklik te maak.

Windows prefetch bestaan uit die skep van kasgeheues van die uitgevoerde programme om hulle vinniger te kan laai. Hierdie kassas word geskep as .pf-lêers binne die pad: C:\Windows\Prefetch. Daar is 'n limiet van 128 lêers in XP/VISTA/WIN7 en 1024 lêers in Win8/Win10.

Die lêernaam word geskep as {program_naam}-{hasj}.pf (die hasj is gebaseer op die pad en argumente van die uitvoerbare lêer). In W10 is hierdie lêers saamgedruk. Let daarop dat die enkele teenwoordigheid van die lêer aandui dat die program op 'n stadium uitgevoer is.

Die lêer C:\Windows\Prefetch\Layout.ini bevat die name van die gids van die lêers wat geprefetch is. Hierdie lêer bevat inligting oor die aantal uitvoerings, datums van die uitvoering en lêers wat oop is deur die program.

Om hierdie lêers te ondersoek, kan jy die gereedskap PEcmd.exe gebruik:

.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"

Superprefetch

Superprefetch het dieselfde doel as prefetch, laai programme vinniger deur te voorspel wat die volgende gelaaide item sal wees. Dit vervang egter nie die prefetch-diens nie.
Hierdie diens sal databasislêers genereer in C:\Windows\Prefetch\Ag*.db.

In hierdie databasisse kan jy die naam van die program, aantal uitvoerings, geopen lêers, volume toegang, volledige pad, tydperke en tydstempels vind.

Jy kan hierdie inligting kry deur die werktuig CrowdResponse te gebruik.

SRUM

System Resource Usage Monitor (SRUM) monitor die hulpbronne verbruik deur 'n proses. Dit het in W8 verskyn en stoor die data in 'n ESE-databasis wat in C:\Windows\System32\sru\SRUDB.dat geleë is.

Dit gee die volgende inligting:

AppID en Pad
Gebruiker wat die proses uitgevoer het
Gestuurde Grepe
Ontvangs Grepe
Netwerk Koppelvlak
Koppelingsduur
Prosesduur

Hierdie inligting word elke 60 minute opgedateer.

Jy kan die datum uit hierdie lêer kry deur die werktuig srum_dump te gebruik.

.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum

AppCompatCache (ShimCache)

Die AppCompatCache, ook bekend as ShimCache, vorm deel van die Toepassingsverenigbaarheidsdatabasis ontwikkel deur Microsoft om toepassingsverenigbaarheidsprobleme aan te spreek. Hierdie stelselkomponent neem verskeie stukke lêermetadate op, wat insluit:

Volledige pad van die lêer
Grootte van die lêer
Laaste gewysigde tyd onder $Standard_Information (SI)
Laaste opgedateerde tyd van die ShimCache
Proseshanteringvlag

Hierdie data word binne die register gestoor op spesifieke plekke gebaseer op die weergawe van die bedryfstelsel:

Vir XP word die data gestoor onder SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache met 'n kapasiteit vir 96 inskrywings.
Vir Server 2003, sowel as vir Windows-weergawes 2008, 2012, 2016, 7, 8, en 10, is die stoorpad SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache, wat onderskeidelik 512 en 1024 inskrywings akkommodeer.

Om die gestoorde inligting te ontled, word die AppCompatCacheParser-werktuig aanbeveel vir gebruik.

Amcache

Die Amcache.hve-lêer is essensieel 'n registerstok wat besonderhede oor toepassings wat op 'n stelsel uitgevoer is, log. Dit word tipies gevind by C:\Windows\AppCompat\Programas\Amcache.hve.

Hierdie lêer is opmerklik vir die stoor van rekords van onlangs uitgevoerde prosesse, insluitend die paaie na die uitvoerbare lêers en hul SHA1-hashe. Hierdie inligting is van onschatbare waarde vir die opsporing van die aktiwiteit van toepassings op 'n stelsel.

Om die data uit Amcache.hve te onttrek en te analiseer, kan die AmcacheParser werktuig gebruik word. Die volgende bevel is 'n voorbeeld van hoe AmcacheParser gebruik kan word om die inhoud van die Amcache.hve-lêer te ontled en die resultate in CSV-formaat uit te voer:

AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder

Onder die gegenereerde CSV-lêers is die Amcache_Unassociated file entries veral opmerklik vanweë die ryk inligting wat dit bied oor ongeassosieerde lêerinskrywings.

Die mees interessante CVS-lêer wat gegenereer word, is die Amcache_Unassociated file entries.

RecentFileCache

Hierdie artefak kan slegs in W7 gevind word in C:\Windows\AppCompat\Programs\RecentFileCache.bcf en dit bevat inligting oor die onlangse uitvoering van sekere binêre lêers.

Jy kan die werktuig RecentFileCacheParse gebruik om die lêer te ontled.

Beplande take

Jy kan hulle onttrek uit C:\Windows\Tasks of C:\Windows\System32\Tasks en dit as XML lees.

Dienste

Jy kan hulle in die register vind onder SYSTEM\ControlSet001\Services. Jy kan sien wat gaan uitgevoer word en wanneer.

Windows Store

Die geïnstalleerde toepassings kan gevind word in \ProgramData\Microsoft\Windows\AppRepository\
Hierdie argief het 'n log met elke toepassing wat geïnstalleer is in die stelsel binne die databasis StateRepository-Machine.srd.

Binne die Toepassingstabel van hierdie databasis is dit moontlik om die kolomme te vind: "Toepassings-ID", "Pakketnommer", en "Vertoonnaam". Hierdie kolomme bevat inligting oor vooraf geïnstalleerde en geïnstalleerde toepassings en dit kan gevind word as sommige toepassings ongeïnstalleer is omdat die ID's van geïnstalleerde toepassings opeenvolgend moet wees.

Dit is ook moontlik om geïnstalleerde toepassings te vind binne die registerpad: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\
En ongeïnstalleerde toepassings in: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\

Windows Gebeure

Inligting wat binne Windows-gebeure verskyn, is:

Wat gebeur het
Tydstempel (UTC + 0)
Gebruikers betrokke
Gasheer betrokke (gasheernaam, IP)
Bates wat benader is (lêers, vouer, drukker, dienste)

Die logs is geleë in C:\Windows\System32\config voor Windows Vista en in C:\Windows\System32\winevt\Logs na Windows Vista. Voor Windows Vista was die gebeurtenislogs in binêre formaat en daarna is hulle in XML-formaat en gebruik die .evtx-uitbreiding.

Die ligging van die gebeurtenis lêers kan gevind word in die SYSTEM-register in HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}

Hulle kan gesien word vanuit die Windows-gebeurtenisvenster (eventvwr.msc) of met ander gereedskap soos Event Log Explorer of Evtx Explorer/EvtxECmd.

Begrip van Windows-sekuriteitsgebeurtenislogging

Toegangsgebeure word aangeteken in die sekuriteitskonfigurasie-lêer wat geleë is by C:\Windows\System32\winevt\Security.evtx. Hierdie lêer se grootte is aanpasbaar, en wanneer sy kapasiteit bereik is, word ouer gebeure oorskryf. Aangetekende gebeure sluit in gebruikersaanmeldings en -afmeldings, gebruikeraksies, en veranderinge aan sekuriteitsinstellings, asook toegang tot lêers, vouers, en gedeelde bates.

Sleutel Gebeurtenis-ID's vir Gebruiker-identifikasie:

Gebeurtenis-ID 4624: Dui aan dat 'n gebruiker suksesvol geïdentifiseer is.
Gebeurtenis-ID 4625: Dui op 'n mislukte identifikasie.
Gebeurtenis-ID's 4634/4647: Verteenwoordig gebruiker-afmeldgebeure.
Gebeurtenis-ID 4672: Dui op aanmelding met administratiewe voorregte.

Sub-tipes binne Gebeurtenis-ID 4634/4647:

Interaktief (2): Direkte gebruiker aanmelding.
Netwerk (3): Toegang tot gedeelde vouers.
Batch (4): Uitvoering van lotprosesse.
Diens (5): Diensbeginne.
Proksi (6): Proksi-identifikasie.
Ontsluit (7): Skerm ontgrendel met 'n wagwoord.
Netwerk Skoon (8): Skoon wagwoord oordrag, dikwels vanaf IIS.
Nuwe Gelde (9): Gebruik van verskillende gelde vir toegang.
Verre Interaktief (10): Verre lessenaar of terminaaldiens aanmelding.
Kes Interaktief (11): Aanmelding met gekeste gelde sonder kontak met die domeinbeheerder.
Kes Verre Interaktief (12): Verre aanmelding met gekeste gelde.
Gekes Ontsluit (13): Ontsluiting met gekeste gelde.

Status en Sub-statuskodes vir Gebeurtenis-ID 4625:

0xC0000064: Gebruikersnaam bestaan nie - Kan dui op 'n gebruikersnaamopnoemingsaanval.
0xC000006A: Korrekte gebruikersnaam maar verkeerde wagwoord - Moontlike wagwoord raai of bruto-kragpoging.
0xC0000234: Gebruikersrekening gesluit - Kan volg op 'n bruto-kragpoging wat lei tot verskeie mislukte aanmeldings.
0xC0000072: Rekening gedeaktiveer - Onbevoegde pogings om toegang te verkry tot gedeaktiveerde rekeninge.
0xC000006F: Aanmelding buite toegelate tyd - Dui op pogings om toegang te verkry buite die vasgestelde aanmeldingstye, 'n moontlike teken van onbevoegde toegang.
0xC0000070: Oortreding van werkstasiebeperkings - Kan 'n poging wees om vanaf 'n onbevoegde plek aan te meld.
0xC0000193: Rekening verval - Toegangspogings met vervalde gebruikersrekeninge.
0xC0000071: Vervalde wagwoord - Aanmeldingspogings met verouderde wagwoorde.
0xC0000133: Tydsinkronisasieprobleme - Groot tydsverskille tussen klient en bediener kan dui op meer gesofistikeerde aanvalle soos 'n pas-die-kaartjie.
0xC0000224: Verpligte wagwoordverandering vereis - Gereelde verpligte veranderinge mag dui op 'n poging om rekeningsekuriteit te destabiliseer.
0xC0000225: Dui op 'n stelsel fout eerder as 'n sekuriteitsprobleem.
0xC000015b: Geweierde aanmeldingstipe - Toegangspoging met ongemagtigde aanmeldingstipe, soos 'n gebruiker wat probeer om 'n diensaanmelding uit te voer.

Gebeurtenis-ID 4616:

Tydverandering: Wysiging van die stelseltyd, kan die tydlyn van gebeure verduister.

Gebeurtenis-ID's 6005 en 6006:

Stelselbegin en -afsluiting: Gebeurtenis-ID 6005 dui op die stelsel wat begin, terwyl Gebeurtenis-ID 6006 dit aandui wat afsluit.

Gebeurtenis-ID 1102:

Logverwydering: Sekuriteitslogs wat skoongevee word, wat dikwels 'n rooi vlag is vir die bedekking van onwettige aktiwiteite.

Gebeurtenis-ID's vir USB-toestelopsporing:

20001 / 20003 / 10000: Eerste koppeling van USB-toestel.
10100: USB-bestuursopdatering.
Gebeurtenis-ID 112: Tyd van USB-toestelinskakeling.

Vir praktiese voorbeelde oor die simulasie van hierdie aanmeldingstipes en geleenthede vir gelde-onttrekking, verwys na Altered Security se gedetailleerde gids.

Gebeurtenisbesonderhede, insluitend status- en substatuskodes, bied verdere insigte in gebeureoorzake, veral opmerklik in Gebeurtenis-ID 4625.

Herstel van Windows-gebeure

Om die kanse op die herwinning van uitgevee Windows-gebeure te verbeter, word dit aanbeveel om die verdagte rekenaar af te skakel deur dit direk uit te trek. Bulk_extractor, 'n herstelwerktuig wat die .evtx-uitbreiding spesifiseer, word aanbeveel vir die poging om sulke gebeure te herwin.

Identifisering van algemene aanvalle via Windows-gebeure

Vir 'n omvattende gids oor die gebruik van Windows-gebeurtenis-ID's om algemene siber-aanvalle te identifiseer, besoek Red Team Recipe.

Bruto-kragaanvalle

Identifiseerbaar deur meervoudige Gebeurtenis-ID 4625 rekords, gevolg deur 'n Gebeurtenis-ID 4624 as die aanval slaag.

Tydverandering

Aangeteken deur Gebeurtenis-ID 4616, veranderinge aan die stelseltyd kan forensiese analise kompliseer.

USB-toestelopsporing

Nuttige Stelsel-Gebeurtenis-ID's vir USB-toestelopsporing sluit 20001/20003/10000 vir aanvanklike gebruik, 10100 vir bestuurdersopdaterings, en Gebeurtenis-ID 112 van DeviceSetupManager vir inskakelingstydpeile.

Stelselkraggebeure

GebeurtenisID 6005 dui op stelselbegin, terwyl GebeurtenisID 6006 afsluiting aandui.

Logverwydering

Sekuriteit GebeurtenisID 1102 dui op die verwydering van logboeke, 'n kritieke gebeurtenis vir forensiese analise.

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat Kontroleer die INSKRYWINGSPLANNE!
Kry die amptelike PEASS & HackTricks swag
Ontdek Die PEASS-familie, ons versameling eksklusiewe NFT's
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.

README.md Unescape Escape

Windows Artefakte