.. | ||
interesting-windows-registry-keys.md | ||
README.md | ||
windows-processes.md |
Windows Artefakte
Windows Artefakte
Leer AWS hak vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai Kyk na die INSKRYWINGSPLANNE!
- Kry die amptelike PEASS & HackTricks swag
- Ontdek Die PEASS Familie, ons versameling eksklusiewe NFTs
- Sluit aan by die đŹ Discord groep of die telegram groep of volg ons op Twitter đŠ @hacktricks_live.
- Deel jou haktruuks deur PRs in te dien by die HackTricks en HackTricks Cloud github repos.
{% embed url="https://websec.nl/" %}
Generiese Windows Artefakte
Windows 10 Kennisgewings
In die pad \Users\<gebruikersnaam>\AppData\Local\Microsoft\Windows\Notifications
kan jy die databasis appdb.dat
(voor Windows-herdenking) of wpndatabase.db
(na Windows-herdenking) vind.
Binne hierdie SQLite-databasis kan jy die Kennisgewing
-tabel vind met al die kennisgewings (in XML-formaat) wat interessante data kan bevat.
Tydlyn
Tydlyn is 'n Windows kenmerk wat 'n chronologiese geskiedenis van besoekte webwerwe, bewerkte dokumente, en uitgevoerde toepassings bied.
Die databasis bly in die pad \Users\<gebruikersnaam>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db
. Hierdie databasis kan geopen word met 'n SQLite-instrument of met die instrument WxTCmd wat 2 lĂȘers genereer wat geopen kan word met die instrument TimeLine Explorer.
ADS (Alternatiewe Datastrome)
LĂȘers wat afgelaai is, kan die ADS Zone.Identifier bevat wat aandui hoe dit vanaf die intranet, internet, ens. afgelaai is. Sommige sagteware (soos webblaaier) sit gewoonlik selfs meer inligting soos die URL van waar die lĂȘer afgelaai is.
LĂȘeragterplasings
Stortbak
In Vista/Win7/Win8/Win10 kan die Stortbak gevind word in die vouer $Recycle.bin
in die hoof van die aandrywing (C:\$Recycle.bin
).
Wanneer 'n lĂȘer in hierdie vouer verwyder word, word 2 spesifieke lĂȘers geskep:
$I{id}
: LĂȘerinligting (datum van wanneer dit verwyder is}$R{id}
: Inhoud van die lĂȘer
Met hierdie lĂȘers kan jy die instrument Rifiuti gebruik om die oorspronklike adres van die verwyderde lĂȘers en die datum waarop dit verwyder is, te kry (gebruik rifiuti-vista.exe
vir Vista â Win10).
.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle
Skadukopieë
Skadukopie is 'n tegnologie wat ingesluit is in Microsoft Windows wat agterkopieĂ« of afskrifte van rekenaar lĂȘers of volumes kan skep, selfs wanneer hulle in gebruik is.
Hierdie agterkopieë is gewoonlik geleë in die \System Volume Information
van die wortel van die lĂȘersisteem en die naam is saamgestel uit UIDs soos in die volgende afbeelding:
Deur die forensiese beeld te koppel met die ArsenalImageMounter, kan die hulpmiddel ShadowCopyView gebruik word om 'n skadukopie te ondersoek en selfs die lĂȘers uit die skadukopie-agterkopieĂ« te onttrek.
Die registerinskrywing HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore
bevat die lĂȘers en sleutels wat nie agtergekopieer moet word nie:
Die register HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS
bevat ook konfigurasie-inligting oor die Volume Shadow Copies
.
Kantoor Opgeslane LĂȘers
Jy kan die kantoor opgeslane lĂȘers vind in: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\
Skulpelemente
'n Skulpelement is 'n item wat inligting bevat oor hoe om toegang tot 'n ander lĂȘer te verkry.
Onlangse Dokumente (LNK)
Windows skep outomaties hierdie kortpaaie wanneer die gebruiker 'n lĂȘer open, gebruik of skep in:
- Win7-Win10:
C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
- Kantoor:
C:\Users\\AppData\Roaming\Microsoft\Office\Recent\
Wanneer 'n vouer geskep word, word 'n skakel na die vouer, na die ouervouer en die ouergrootouervouer ook geskep.
Hierdie outomaties geskepte skakellĂȘers bevat inligting oor die oorsprong soos of dit 'n lĂȘer of 'n vouer is, MAC tye van daardie lĂȘer, volume-inligting waar die lĂȘer gestoor word en vouer van die teikenvouer. Hierdie inligting kan nuttig wees om daardie lĂȘers te herstel in die geval dat hulle verwyder is.
Ook is die datum geskep van die skakel lĂȘer die eerste keer wat die oorspronklike lĂȘer eerste gebruik is en die datum gewysig van die skakel lĂȘer is die laaste keer wat die oorspronklike lĂȘer gebruik is.
Om hierdie lĂȘers te ondersoek, kan jy LinkParser gebruik.
In hierdie hulpmiddels sal jy 2 stelle tydmerke vind:
- Eerste Stel:
- LĂȘerGewysigDatum
- LĂȘerToegangsDatum
- LĂȘerSkepDatum
- Tweede Stel:
- SkakelGewysigDatum
- SkakelToegangsDatum
- SkakelSkepDatum.
Die eerste stel tydmerke verwys na die tydmerke van die lĂȘer self. Die tweede stel verwys na die tydmerke van die gekoppelde lĂȘer.
Jy kan dieselfde inligting kry deur die Windows CLI-hulpmiddel uit te voer: LECmd.exe
LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs
In hierdie geval gaan die inligting binne 'n CSV-lĂȘer gestoor word.
Springlyste
Dit is die onlangse lĂȘers wat per toepassing aangedui word. Dit is die lys van onlangse lĂȘers wat deur 'n toepassing gebruik is wat jy op elke toepassing kan raadpleeg. Hulle kan outomaties geskep word of aangepas wees.
Die springlyste wat outomaties geskep word, word gestoor in C:\Gebruikers\{gebruikersnaam}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\
. Die springlyste word genoem volgens die formaat {id}.autmaticDestinations-ms
waar die aanvanklike ID die ID van die toepassing is.
Die aangepaste springlyste word gestoor in C:\Gebruikers\{gebruikersnaam}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\
en hulle word gewoonlik deur die toepassing geskep omdat iets belangrik met die lĂȘer gebeur het (miskien as gunsteling gemerk).
Die geskepte tyd van enige springlys dui die eerste keer aan dat die lĂȘer benader is en die gewysigde tyd die laaste keer.
Jy kan die springlyste inspekteer met behulp van JumplistExplorer.
(Let daarop dat die tye wat deur JumplistExplorer voorsien word, verband hou met die springlys-lĂȘer self)
Shellbags
Volg hierdie skakel om uit te vind wat die shellbags is.
Gebruik van Windows USB's
Dit is moontlik om te identifiseer dat 'n USB-toestel gebruik is danksy die skepping van:
- Windows Onlangse Vouer
- Microsoft Office Onlangse Vouer
- Springlyste
Let daarop dat sommige LNK-lĂȘers in plaas van na die oorspronklike pad te verwys, na die WPDNSE-vouer verwys:
Die lĂȘers in die WPDNSE-vouer is 'n kopie van die oorspronklike lĂȘers, sal dus nie 'n herbegin van die rekenaar oorleef nie en die GUID word uit 'n shellbag geneem.
Registreer Inligting
Kyk na hierdie bladsy om te leer watter register sleutels interessante inligting oor USB-aangeslote toestelle bevat.
setupapi
Kyk na die lĂȘer C:\Windows\inf\setupapi.dev.log
om die tye te kry wanneer die USB-verbinding plaasgevind het (soek vir Section start
).
USB Detective
USBDetective kan gebruik word om inligting oor die USB-toestelle wat aan 'n beeld gekoppel is, te verkry.
Inprop en Speel Skoonmaak
Die geskeduleerde taak wat bekend staan as 'Inprop en Speel Skoonmaak' is hoofsaaklik ontwerp vir die verwydering van verouderde bestuurderweergawes. In teenstelling met sy gespesifiseerde doel om die jongste bestuurderpakketweergawe te behou, suggereer aanlynbronne dat dit ook mik op bestuurders wat vir 30 dae onaktief was. Gevolglik kan bestuurders vir verwyderbare toestelle wat nie in die afgelope 30 dae aangesluit is nie, onderwerp wees aan uitvee.
Die taak is geleë op die volgende pad:
C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup
.
'n Skermkiekie wat die inhoud van die taak uitbeeld, word voorsien:
Kernkomponente en Instellings van die Taak:
- pnpclean.dll: Hierdie DLL is verantwoordelik vir die werklike skoonmaakproses.
- UseUnifiedSchedulingEngine: Gestel op
TRUE
, wat dui op die gebruik van die generiese taakskeduleringsenjin. - MaintenanceSettings:
- Tydperk ('P1M'): Stuur die Taakscheduler om die skoonmaaktaak maandeliks tydens gereelde Outomatiese instandhouding te begin.
- Deurnooi ('P2M'): Instrueer die Taakscheduler, as die taak vir twee opeenvolgende maande misluk, om die taak tydens noodsaaklike Outomatiese instandhouding uit te voer.
Hierdie konfigurasie verseker gereelde instandhouding en skoonmaak van bestuurders, met bepalings vir 'n herpoging van die taak in geval van opeenvolgende mislukkings.
Vir meer inligting kyk: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html
E-posse
E-posse bevat 2 interessante dele: Die koppe en die inhoud van die e-pos. In die koppe kan jy inligting soos vind:
- Wie het die e-posse gestuur (e-posadres, IP, posdiensers wat die e-pos omgelei het)
- Wanneer is die e-pos gestuur
Ook kan jy binne die Verwysings
en In-Reply-To
koppe die ID van die boodskappe vind:
Windows Pos App
Hierdie toepassing stoor e-posse in HTML of teks. Jy kan die e-posse binne subvouers vind binne \Gebruikers\<gebruikersnaam>\AppData\Local\Comms\Unistore\data\3\
. Die e-posse word gestoor met die .dat
-uitbreiding.
Die metadata van die e-posse en die kontakte kan binne die EDB-databasis gevind word: \Gebruikers\<gebruikersnaam>\AppData\Local\Comms\UnistoreDB\store.vol
Verander die uitbreiding van die lĂȘer van .vol
na .edb
en jy kan die instrument ESEDatabaseView gebruik om dit oop te maak. Binne die Boodskap
-tabel kan jy die e-posse sien.
Microsoft Outlook
Wanneer Exchange-bedieners of Outlook-kliënte gebruik word, gaan daar 'n paar MAPI-koppe wees:
Mapi-Client-Submit-Time
: Tyd van die stelsel wanneer die e-pos gestuur isMapi-Conversation-Index
: Aantal kinderboodskappe van die draad en tydstempel van elke boodskap van die draadMapi-Entry-ID
: Boodskapidentifiseerder.Mappi-Message-Flags
enPr_last_Verb-Executed
: Inligting oor die MAPI-kliënt (boodskap gelees? nie gelees nie? geantwoord? omgelei? uit die kantoor?)
In die Microsoft Outlook-kliĂ«nt word al die gestuurde/ontvangsboodskappe, kontakte-inligting, en kalenderinligting gestoor in 'n PST-lĂȘer in:
%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook
(WinXP)%USERPROFILE%\AppData\Local\Microsoft\Outlook
Die registerpad HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook
dui aan watter lĂȘer gebruik word.
Jy kan die PST-lĂȘer oopmaak met die instrument Kernel PST Viewer.
Microsoft Outlook OST-lĂȘers
'n OST-lĂȘer word gegenereer deur Microsoft Outlook wanneer dit gekonfigureer is met IMAP of 'n Exchange-bediener, wat soortgelyke inligting as 'n PST-lĂȘer stoor. Hierdie lĂȘer word gesinkroniseer met die bediener, behou data vir die laaste 12 maande tot 'n maksimum grootte van 50GB, en is geleĂ« in dieselfde gids as die PST-lĂȘer. Om 'n OST-lĂȘer te sien, kan die Kernel OST-aansigter gebruik word.
Terugwinning van Aanhegsels
Verlore aanhegsels kan herwin word vanaf:
- Vir IE10:
%APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook
- Vir IE11 en hoër:
%APPDATA%\Local\Microsoft\InetCache\Content.Outlook
Thunderbird MBOX-lĂȘers
Thunderbird maak gebruik van MBOX-lĂȘers om data te stoor, geleĂ« by \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles
.
Beeld Duimnaels
- Windows XP en 8-8.1: Toegang tot 'n gids met duimnaels genereer 'n
thumbs.db
-lĂȘer wat beeldvoorbeelde stoor, selfs nĂĄ skrapping. - Windows 7/10:
thumbs.db
word geskep wanneer dit oor 'n netwerk via 'n UNC-paadjie benader word. - Windows Vista en nuwer: Duimnaelvoorbeelde is gesentraliseer in
%userprofile%\AppData\Local\Microsoft\Windows\Explorer
met lĂȘers genaamd thumbcache_xxx.db. Thumbsviewer en ThumbCache Viewer is gereedskap vir die sien van hierdie lĂȘers.
Windows Registerinligting
Die Windows-register, wat omvattende stelsel- en gebruikersaktiwiteitsdata stoor, word bevat binne lĂȘers in:
%windir%\System32\Config
vir verskeieHKEY_LOCAL_MACHINE
subklasse.%UserProfile%{User}\NTUSER.DAT
virHKEY_CURRENT_USER
.- Windows Vista en nuwer weergawes maak 'n rugsteun van
HKEY_LOCAL_MACHINE
registerlĂȘers in%Windir%\System32\Config\RegBack\
. - Daarbenewens word programuitvoerinligting gestoor in
%UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT
vanaf Windows Vista en Windows 2008 Server aan.
Gereedskap
Sommige gereedskap is nuttig om die registerlĂȘers te analiseer:
- Registerredigeerder: Dit is geĂŻnstalleer in Windows. Dit is 'n GUI om deur die Windows-register van die huidige sessie te navigeer.
- Registerontleder: Dit laat jou toe om die registerlĂȘer te laai en daardeur te navigeer met 'n GUI. Dit bevat ook Bladmerke wat sleutels met interessante inligting beklemtoon.
- RegRipper: Weereens, dit het 'n GUI wat toelaat om deur die gelaai register te navigeer en bevat ook aanvullings wat interessante inligting binne die gelaai register beklemtoon.
- Windows Registerherwinning: 'n Ander GUI-toepassing wat in staat is om die belangrike inligting uit die gelaai register te onttrek.
Herwinning van Verwyderde Element
Wanneer 'n sleutel verwyder word, word dit as sodanig gemerk, maar totdat die spasie wat dit beset benodig word, sal dit nie verwyder word nie. Daarom is dit moontlik om hierdie verwyderde sleutels te herwin deur gereedskap soos Registerontleder te gebruik.
Laaste Skryftyd
Elke Sleutel-Waarde bevat 'n tydstempel wat aandui wanneer dit laas gewysig is.
SAM
Die lĂȘer/hive SAM bevat die gebruikers, groepe en gebruikerswagwoorde hasjies van die stelsel.
In SAM\Domains\Account\Users
kan jy die gebruikersnaam, die RID, laaste aanmelding, laaste mislukte aanmelding, aanmeldingteller, wagwoordbeleid en wanneer die rekening geskep is, verkry. Om die hasjies te kry, het jy ook die lĂȘer/hive SYSTEM nodig.
Interessante inskrywings in die Windows-register
{% content-ref url="interesting-windows-registry-keys.md" %} interesting-windows-registry-keys.md {% endcontent-ref %}
Programme Uitgevoer
Basiese Windows Prosesse
In hierdie pos kan jy leer oor die algemene Windows prosesse om verdagte gedrag te identifiseer.
Windows Onlangse Toepassings
Binne die register NTUSER.DAT
in die pad Software\Microsoft\Current Version\Search\RecentApps
kan jy subklasse met inligting oor die uitgevoerde toepassing, laaste tyd wat dit uitgevoer is, en aantal kere wat dit afgeskop is, vind.
BAM (Agtergrondaktiwiteitsmoderator)
Jy kan die SYSTEM
-lĂȘer met 'n registerredigeerder oopmaak en binne die pad SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}
kan jy die inligting oor die toepassings wat deur elke gebruiker uitgevoer is vind (let op die {SID}
in die pad) en op watter tyd hulle uitgevoer is (die tyd is binne die Data-waarde van die register).
Windows Prefetch
Prefetching is 'n tegniek wat 'n rekenaar in staat stel om stilweg die nodige hulpbronne te haal wat nodig is om inhoud te vertoon wat 'n gebruiker moontlik binnekort sal toegang sodat hulpbronne vinniger toeganklik kan wees.
Windows prefetch bestaan uit die skep van kasgeheues van die uitgevoerde programme om hulle vinniger te kan laai. Hierdie geheues word geskep as .pf
-lĂȘers binne die pad: C:\Windows\Prefetch
. Daar is 'n limiet van 128 lĂȘers in XP/VISTA/WIN7 en 1024 lĂȘers in Win8/Win10.
Die lĂȘernaam word geskep as {program_naam}-{hasj}.pf
(die hasj is gebaseer op die pad en argumente van die uitvoerbare lĂȘer). In W10 is hierdie lĂȘers saamgedruk. Let daarop dat die enkele teenwoordigheid van die lĂȘer aandui dat die program op 'n stadium uitgevoer is.
Die lĂȘer C:\Windows\Prefetch\Layout.ini
bevat die name van die gids van die lĂȘers wat geprefetch is. Hierdie lĂȘer bevat inligting oor die aantal uitvoerings, datums van die uitvoering en lĂȘers wat oop is deur die program.
Om hierdie lĂȘers te ondersoek, kan jy die gereedskap PEcmd.exe gebruik:
.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"
Superprefetch
Superprefetch het dieselfde doel as prefetch, laai programme vinniger deur te voorspel wat gaan volgende gelaai word. Dit vervang egter nie die prefetch-diens nie.
Hierdie diens sal databasis lĂȘers genereer in C:\Windows\Prefetch\Ag*.db
.
In hierdie databasisse kan jy die naam van die program, aantal uitvoerings, lĂȘers geopen, volume toegang, volledige pad, tydraamwerke en tydstempels vind.
Jy kan toegang tot hierdie inligting kry deur die instrument CrowdResponse.
SRUM
System Resource Usage Monitor (SRUM) monitor die hulpbronne verbruik deur 'n proses. Dit het in W8 verskyn en stoor die data in 'n ESE-databasis geleë in C:\Windows\System32\sru\SRUDB.dat
.
Dit gee die volgende inligting:
- AppID en Pad
- Gebruiker wat die proses uitgevoer het
- Gestuurde Grepe
- Ontvangs Grepe
- Netwerk Koppelvlak
- Koppelingsduur
- Prosesduur
Hierdie inligting word elke 60 minute opgedateer.
Jy kan die datum uit hierdie lĂȘer verkry deur die instrument srum_dump.
.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum
AppCompatCache (ShimCache)
Die AppCompatCache, ook bekend as ShimCache, vorm deel van die Toepassingsverenigbaarheidsdatabasis wat deur Microsoft ontwikkel is om toepassingsverenigbaarheidsprobleme aan te spreek. Hierdie stelselkomponent neem verskeie stukke lĂȘermetadat op, wat insluit:
- Volledige pad van die lĂȘer
- Grootte van die lĂȘer
- Laaste gewysigde tyd onder $Standard_Information (SI)
- Laaste opgedateerde tyd van die ShimCache
- Prosesuitvoeringsvlag
Hierdie data word binne die register gestoor op spesifieke plekke gebaseer op die weergawe van die bedryfstelsel:
- Vir XP word die data gestoor onder
SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache
met 'n kapasiteit vir 96 inskrywings. - Vir Server 2003, sowel as vir Windows-weergawes 2008, 2012, 2016, 7, 8, en 10, is die stoorpad
SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache
, wat onderskeidelik 512 en 1024 inskrywings akkommodeer.
Om die gestoorde inligting te ontled, word die AppCompatCacheParser-werktuig aanbeveel vir gebruik.
Amcache
Die Amcache.hve-lĂȘer is essensieel 'n registerstok wat besonderhede oor toepassings wat op 'n stelsel uitgevoer is, log. Dit word tipies gevind by C:\Windows\AppCompat\Programas\Amcache.hve
.
Hierdie lĂȘer is opmerklik vir die stoor van rekords van onlangs uitgevoerde prosesse, insluitend die paaie na die uitvoerbare lĂȘers en hul SHA1-hashes. Hierdie inligting is van onskatbare waarde vir die opsporing van die aktiwiteit van toepassings op 'n stelsel.
Om die data uit Amcache.hve te onttrek en te analiseer, kan die AmcacheParser-werktuig gebruik word. Die volgende bevel is 'n voorbeeld van hoe om AmcacheParser te gebruik om die inhoud van die Amcache.hve-lĂȘer te ontled en die resultate in CSV-formaat uit te voer:
AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder
Onder die gegenereerde CSV-lĂȘers is die Amcache_Unassociated file entries
veral merkwaardig weens die ryk inligting wat dit bied oor ongeassosieerde lĂȘerinskrywings.
Die mees interessante CVS-lĂȘer wat gegenereer word, is die Amcache_Unassociated file entries
.
RecentFileCache
Hierdie artefak kan slegs in W7 gevind word in C:\Windows\AppCompat\Programs\RecentFileCache.bcf
en dit bevat inligting oor die onlangse uitvoering van sekere binĂȘre lĂȘers.
Jy kan die werktuig RecentFileCacheParse gebruik om die lĂȘer te ontled.
Geskeduleerde take
Jy kan hulle onttrek uit C:\Windows\Tasks
of C:\Windows\System32\Tasks
en dit as XML lees.
Dienste
Jy kan hulle in die register vind onder SYSTEM\ControlSet001\Services
. Jy kan sien wat gaan uitgevoer word en wanneer.
Windows Store
Die geĂŻnstalleerde aansoeke kan gevind word in \ProgramData\Microsoft\Windows\AppRepository\
Hierdie argief het 'n log met elke aansoek wat geĂŻnstalleer is in die stelsel binne die databasis StateRepository-Machine.srd
.
Binne die Aansoek-tabel van hierdie databasis, is dit moontlik om die kolomme te vind: "Aansoek-ID", "Pakketnommer", en "Vertoonnaam". Hierdie kolomme het inligting oor vooraf geĂŻnstalleerde en geĂŻnstalleerde aansoeke en dit kan gevind word as sommige aansoeke ongeĂŻnstalleer is omdat die ID's van geĂŻnstalleerde aansoeke opeenvolgend moet wees.
Dit is ook moontlik om geĂŻnstalleerde aansoek binne die registerpad te vind: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\
En ongeĂŻnstalleerde aansoeke in: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\
Windows Gebeure
Inligting wat binne Windows-gebeure verskyn, is:
- Wat gebeur het
- Tydstempel (UTC + 0)
- Gebruikers betrokke
- Gasheer betrokke (gasheernaam, IP)
- Bates wat benader is (lĂȘers, vouer, drukker, dienste)
Die logs is geleë in C:\Windows\System32\config
voor Windows Vista en in C:\Windows\System32\winevt\Logs
na Windows Vista. Voor Windows Vista was die gebeurtenislogs in binĂȘre formaat en daarna is hulle in XML-formaat en gebruik die .evtx-uitbreiding.
Die ligging van die gebeurtenis lĂȘers kan gevind word in die SYSTEM-register in HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}
Hulle kan gesien word vanuit die Windows-gebeurtenisleser (eventvwr.msc
) of met ander gereedskap soos Event Log Explorer of Evtx Explorer/EvtxECmd.
Begrip van Windows-sekuriteit-gebeurtenislogging
Toegangsgebeure word aangeteken in die sekerheidskonfigurasie-lĂȘer wat geleĂ« is by C:\Windows\System32\winevt\Security.evtx
. Hierdie lĂȘer se grootte is aanpasbaar, en wanneer sy kapasiteit bereik is, word ouer gebeure oorskryf. Aangetekende gebeure sluit in gebruikersaanmeldings en -afmeldings, gebruikeraksies, en veranderinge aan sekuriteitsinstellings, sowel as toegang tot lĂȘers, vouers, en gedeelde bates.
Sleutel Gebeurtenis-ID's vir Gebruiker-identifikasie:
- Gebeurtenis-ID 4624: Dui aan dat 'n gebruiker suksesvol geĂŻdentifiseer is.
- Gebeurtenis-ID 4625: Dui op 'n mislukte identifikasie.
- Gebeurtenis-ID's 4634/4647: Verteenwoordig gebruiker-afmeldgebeure.
- Gebeurtenis-ID 4672: Dui op aanmelding met administratiewe voorregte.
Sub-tipes binne Gebeurtenis-ID 4634/4647:
- Interaktief (2): Direkte gebruiker aanmelding.
- Netwerk (3): Toegang tot gedeelde vouers.
- Batch (4): Uitvoering van lotprosesse.
- Diens (5): Diensaanvang.
- Proksi (6): Proksi-identifikasie.
- Ontsluit (7): Skerm ontgrendel met 'n wagwoord.
- Netwerk Skoon (8): Skoon wagwoordtransmissie, dikwels vanaf IIS.
- Nuwe Gelde (9): Gebruik van verskillende gelde vir toegang.
- Verre Interaktief (10): Verre lessenaar of terminaaldiens aanmelding.
- Kas Interaktief (11): Aanmelding met gekas gelde sonder kontak met die domeinbeheerder.
- Kas Verre Interaktief (12): Verre aanmelding met gekas gelde.
- Gekas Ontsluit (13): Ontsluiting met gekas gelde.
Status en Sub-status-kodes vir Gebeurntenis-ID 4625:
- 0xC0000064: Gebruikersnaam bestaan nie - Kan dui op 'n gebruikersnaamopsommingaanval.
- 0xC000006A: Korrekte gebruikersnaam maar verkeerde wagwoord - Moontlike wagwoord raai of bruto-kragpoging.
- 0xC0000234: Gebruikersrekening gesluit - Mag volg op 'n bruto-kragpoging wat lei tot meervoudige mislukte aanmeldings.
- 0xC0000072: Rekening gedeaktiveer - Onbevoegde pogings om toegang te verkry tot gedeaktiveerde rekeninge.
- 0xC000006F: Aanmelding buite toegelate tyd - Dui op pogings om toegang te verkry buite die vasgestelde aanmeldingstye, 'n moontlike teken van onbevoegde toegang.
- 0xC0000070: Oortreding van werkstasiebeperkings - Kan 'n poging wees om vanaf 'n onbevoegde plek aan te meld.
- 0xC0000193: Rekening verval - Toegangspogings met vervalde gebruikersrekeninge.
- 0xC0000071: Vervalde wagwoord - Aanmeldingspogings met verouderde wagwoorde.
- 0xC0000133: Tydsinkronisasieprobleme - Groot tydsverskille tussen klient en bediener kan dui op meer gesofistikeerde aanvalle soos pas-die-kaartjie.
- 0xC0000224: Verpligte wagwoordverandering vereis - Gereelde verpligte veranderinge mag dui op 'n poging om rekeningsekuriteit te destabiliseer.
- 0xC0000225: Dui op 'n stelselfout eerder as 'n sekuriteitsprobleem.
- 0xC000015b: Geweierde aanmeldingstipe - Toegangspoging met ongemagtigde aanmeldingstipe, soos 'n gebruiker wat probeer om 'n diensaanmelding uit te voer.
Gebeurtenis-ID 4616:
- Tydverandering: Wysiging van die stelseltyd, kan die tydlyn van gebeure vertroebel.
Gebeurntenis-ID 6005 en 6006:
- Stelselbegin en -afsluiting: Gebeurtenis-ID 6005 dui op die stelsel wat begin, terwyl Gebeurtenis-ID 6006 dit aandui wat afsluit.
Gebeurtenis-ID 1102:
- Logverwydering: Sekuriteitslogs wat skoongevee word, wat dikwels 'n waarskuwingsteken is vir die bedekking van onwettige aktiwiteite.
Gebeurtenis-ID's vir USB-toestelopsporing:
- 20001 / 20003 / 10000: Eerste koppeling van USB-toestel.
- 10100: USB-bestuursteroptatering.
- Gebeurtenis-ID 112: Tyd van USB-toestelinskakeling.
Vir praktiese voorbeelde oor die simulasie van hierdie aanmeldingstipes en geleentheid vir gelde-uitdeling, verwys na Altered Security se gedetailleerde gids.
Gebeurtenisbesonderhede, insluitend status- en substatuskodes, bied verdere insigte in gebeureoorzake, veral opmerklik in Gebeurtenis-ID 4625.
Herstel van Windows-gebeure
Om die kanse op die herwinning van uitgevee Windows-gebeure te verbeter, is dit raadsaam om die verdagte rekenaar af te skakel deur dit direk uit te trek. Bulk_extractor, 'n herstelwerktuig wat die .evtx
-uitbreiding spesifiseer, word aanbeveel vir die poging om sulke gebeure te herwin.
Identifisering van algemene aanvalle via Windows-gebeure
Vir 'n omvattende gids oor die gebruik van Windows-gebeurtenis-ID's om algemene siber-aanvalle te identifiseer, besoek Red Team Recipe.
Bruto-kragaanvalle
Identifiseerbaar deur meervoudige Gebeurtenis-ID 4625 rekords, gevolg deur 'n Gebeurtenis-ID 4624 as die aanval slaag.
Tydverandering
Aangeteken deur Gebeurtenis-ID 4616, veranderinge aan die stelseltyd kan forensiese analise kompliseer.
USB-toestelopsporing
Nuttige Stelsel-Gebeurtenis-ID's vir USB-toestelopsporing sluit 20001/20003/10000 vir aanvanklike gebruik, 10100 vir bestuursteroptaterings, en Gebeurtenis-ID 112 van DeviceSetupManager vir inskakelingstydpeile.
Stelselkraggebeure
GebeurtenisID 6005 dui op stelselbegin, terwyl GebeurtenisID 6006 afsluiting aandui.
Logverwydering
Sekuriteit GebeurtenisID 1102 dui op die verwydering van logboeke, 'n kritieke gebeurtenis vir forensiese analise.
{% embed url="https://websec.nl/" %}
Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!
Ander maniere om HackTricks te ondersteun:
- As jy jou maatskappy geadverteer wil sien in HackTricks of HackTricks in PDF wil aflaai Kyk na die INSKRYWINGSPLANNE!
- Kry die amptelike PEASS & HackTricks swag
- Ontdek Die PEASS-familie, ons versameling eksklusiewe NFT's
- Sluit aan by die đŹ Discord-groep of die telegram-groep of volg ons op Twitter đŠ @hacktricks_live.
- Deel jou haktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.