hacktricks/generic-methodologies-and-resources/basic-forensic-methodology/windows-forensics
2024-05-05 22:18:38 +00:00
..
interesting-windows-registry-keys.md GitBook: No commit message 2024-04-06 18:30:57 +00:00
README.md Translated ['README.md', 'binary-exploitation/arbitrary-write-2-exec/aw2 2024-05-05 22:18:38 +00:00

Windows Artefakte

Windows Artefakte

Erlernen Sie AWS-Hacking von Grund auf mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen:

Generische Windows Artefakte

Windows 10 Benachrichtigungen

Im Pfad \Users\<Benutzername>\AppData\Local\Microsoft\Windows\Notifications finden Sie die Datenbank appdb.dat (vor dem Windows-Jubiläum) oder wpndatabase.db (nach dem Windows-Jubiläum).

In dieser SQLite-Datenbank finden Sie die Tabelle Notification mit allen Benachrichtigungen (im XML-Format), die interessante Daten enthalten können.

Zeitachse

Die Zeitachse ist eine Windows-Funktion, die eine chronologische Historie der besuchten Webseiten, bearbeiteten Dokumente und ausgeführten Anwendungen bereitstellt.

Die Datenbank befindet sich im Pfad \Users\<Benutzername>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db. Diese Datenbank kann mit einem SQLite-Tool oder mit dem Tool WxTCmd geöffnet werden, das 2 Dateien generiert, die mit dem Tool TimeLine Explorer geöffnet werden können.

ADS (Alternative Datenströme)

Heruntergeladene Dateien können die ADS Zone.Identifier enthalten, die anzeigt, wie sie aus dem Intranet, Internet usw. heruntergeladen wurden. Einige Software (wie Browser) geben in der Regel sogar mehr Informationen wie die URL an, von der die Datei heruntergeladen wurde.

Dateisicherungen

Papierkorb

Im Vista/Win7/Win8/Win10 befindet sich der Papierkorb im Ordner $Recycle.bin im Stammverzeichnis des Laufwerks (C:\$Recycle.bin).
Wenn eine Datei in diesem Ordner gelöscht wird, werden 2 spezifische Dateien erstellt:

  • $I{id}: Dateiinformationen (Datum des Löschens)
  • $R{id}: Inhalt der Datei

Mit diesen Dateien können Sie das Tool Rifiuti verwenden, um die ursprüngliche Adresse der gelöschten Dateien und das Löschdatum zu erhalten (verwenden Sie rifiuti-vista.exe für Vista Win10).

.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle

Volume Shadow Copies

Shadow Copy ist eine Technologie, die in Microsoft Windows enthalten ist und Sicherungskopien oder Snapshots von Computerdateien oder Volumes erstellen kann, auch wenn sie verwendet werden.

Diese Backups befinden sich normalerweise im Verzeichnis \System Volume Information im Stamm des Dateisystems und der Name setzt sich aus UIDs zusammen, wie im folgenden Bild gezeigt:

Durch das Einhängen des forensischen Abbilds mit dem ArsenalImageMounter kann das Tool ShadowCopyView verwendet werden, um eine Schattenkopie zu inspizieren und sogar die Dateien aus den Sicherungskopien der Schattenkopie zu extrahieren.

Der Registrierungseintrag HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore enthält die Dateien und Schlüssel, die nicht gesichert werden sollen:

Die Registrierung HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS enthält auch Konfigurationsinformationen zu den Volume Shadow Copies.

Office AutoSaved-Dateien

Sie können die automatisch gespeicherten Office-Dateien unter: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\ finden.

Shell-Elemente

Ein Shell-Element ist ein Element, das Informationen darüber enthält, wie auf eine andere Datei zugegriffen werden kann.

Zuletzt verwendete Dokumente (LNK)

Windows erstellt diese Verknüpfungen automatisch, wenn der Benutzer eine Datei öffnet, verwendet oder erstellt in:

  • Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
  • Office: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\

Wenn ein Ordner erstellt wird, wird auch eine Verknüpfung zum Ordner, zum übergeordneten Ordner und zum Großelterordner erstellt.

Diese automatisch erstellten Verknüpfungsdateien enthalten Informationen über die Herkunft, ob es sich um eine Datei oder einen Ordner handelt, MAC-Zeiten dieser Datei, Volumeninformationen, wo die Datei gespeichert ist, und Ordner der Zieldatei. Diese Informationen können nützlich sein, um diese Dateien wiederherzustellen, falls sie entfernt wurden.

Außerdem ist das Erstelldatum der Verknüpfung die erste Zeit, zu der die Originaldatei erstmalig verwendet wurde, und das Änderungsdatum der Verknüpfungsdatei ist die letzte Zeit, zu der die Ursprungsdatei verwendet wurde.

Um diese Dateien zu inspizieren, können Sie LinkParser verwenden.

In diesem Tool finden Sie 2 Sets von Zeitstempeln:

  • Erster Satz:
  1. Dateiänderungsdatum
  2. Dateizugriffsdatum
  3. Dateierstellungsdatum
  • Zweiter Satz:
  1. Verknüpfungsänderungsdatum
  2. Verknüpfungszugriffsdatum
  3. Verknüpfungserstellungsdatum.

Der erste Satz von Zeitstempeln bezieht sich auf die Zeitstempel der Datei selbst. Der zweite Satz bezieht sich auf die Zeitstempel der verknüpften Datei.

Sie können dieselben Informationen erhalten, indem Sie das Windows CLI-Tool ausführen: LECmd.exe

LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs

Jumplists

Diese enthalten die zuletzt verwendeten Dateien pro Anwendung. Es handelt sich um eine Liste der zuletzt von einer Anwendung verwendeten Dateien, auf die Sie in jeder Anwendung zugreifen können. Sie können automatisch erstellt oder benutzerdefiniert sein.

Die automatisch erstellten Jumplists werden unter C:\Users\{Benutzername}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\ gespeichert. Die Jumplists sind nach dem Format {id}.autmaticDestinations-ms benannt, wobei die anfängliche ID die ID der Anwendung ist.

Die benutzerdefinierten Jumplists werden unter C:\Users\{Benutzername}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\ gespeichert und werden in der Regel von der Anwendung erstellt, weil etwas Wichtiges mit der Datei passiert ist (vielleicht als Favorit markiert).

Die Erstellungszeit einer Jumplist gibt an, wann die Datei zum ersten Mal zugegriffen wurde, und die Änderungszeit das letzte Mal.

Sie können die Jumplists mit JumplistExplorer überprüfen.

(Bitte beachten Sie, dass die von JumplistExplorer bereitgestellten Zeitstempel sich auf die Jumplist-Datei selbst beziehen.)

Shellbags

Folgen Sie diesem Link, um zu erfahren, was Shellbags sind.

Verwendung von Windows-USBs

Es ist möglich festzustellen, dass ein USB-Gerät verwendet wurde, dank der Erstellung von:

  • Windows Recent-Ordner
  • Microsoft Office Recent-Ordner
  • Jumplists

Beachten Sie, dass einige LNK-Dateien anstelle des ursprünglichen Pfads auf den WPDNSE-Ordner verweisen:

Die Dateien im WPDNSE-Ordner sind Kopien der Originaldateien, daher überleben sie keinen Neustart des PCs und die GUID wird aus einem Shellbag übernommen.

Registrierungsinformationen

Überprüfen Sie diese Seite, um zu erfahren, welche Registrierungsschlüssel interessante Informationen über angeschlossene USB-Geräte enthalten.

setupapi

Überprüfen Sie die Datei C:\Windows\inf\setupapi.dev.log, um die Zeitstempel darüber zu erhalten, wann die USB-Verbindung hergestellt wurde (suchen Sie nach Section start).

USB Detective

USBDetective kann verwendet werden, um Informationen über die an ein Bild angeschlossenen USB-Geräte zu erhalten.

Plug and Play Cleanup

Die geplante Aufgabe, bekannt als 'Plug and Play Cleanup', ist hauptsächlich für die Entfernung veralteter Treiberversionen vorgesehen. Entgegen ihrem festgelegten Zweck, die neueste Treiberversion beizubehalten, deuten Online-Quellen darauf hin, dass sie auch Treiber löscht, die seit 30 Tagen inaktiv sind. Folglich können Treiber für entfernbare Geräte, die in den letzten 30 Tagen nicht angeschlossen wurden, gelöscht werden.

Die Aufgabe befindet sich unter dem folgenden Pfad: C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup.

Ein Screenshot des Inhalts der Aufgabe wird bereitgestellt:

Wichtige Komponenten und Einstellungen der Aufgabe:

  • pnpclean.dll: Diese DLL ist für den eigentlichen Bereinigungsvorgang verantwortlich.
  • UseUnifiedSchedulingEngine: Auf TRUE gesetzt, was die Verwendung des generischen Aufgabenplanungsmotors anzeigt.
  • MaintenanceSettings:
  • Periode ('P1M'): Weist den Taskplaner an, die Bereinigungsaufgabe monatlich während der regulären automatischen Wartung zu starten.
  • Frist ('P2M'): Weist den Taskplaner an, die Aufgabe bei zwei aufeinanderfolgenden Monaten des Scheiterns während der Notfallautomatisierung durchzuführen.

Diese Konfiguration gewährleistet eine regelmäßige Wartung und Bereinigung von Treibern mit Vorkehrungen für einen erneuten Versuch der Aufgabe im Falle aufeinanderfolgender Fehler.

Weitere Informationen finden Sie unter: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html

E-Mails

E-Mails enthalten 2 interessante Teile: Die Header und den Inhalt der E-Mail. In den Headern finden Sie Informationen wie:

  • Wer die E-Mails gesendet hat (E-Mail-Adresse, IP, Mailserver, die die E-Mail weitergeleitet haben)
  • Wann die E-Mail gesendet wurde

Außerdem finden Sie in den Headern References und In-Reply-To die ID der Nachrichten:

Windows Mail App

Diese Anwendung speichert E-Mails in HTML oder Text. Sie finden die E-Mails in Unterordnern unter \Users\<Benutzername>\AppData\Local\Comms\Unistore\data\3\. Die E-Mails werden mit der Erweiterung .dat gespeichert.

Die Metadaten der E-Mails und die Kontakte finden Sie in der EDB-Datenbank: \Users\<Benutzername>\AppData\Local\Comms\UnistoreDB\store.vol

Ändern Sie die Erweiterung der Datei von .vol in .edb und Sie können das Tool ESEDatabaseView verwenden, um sie zu öffnen. In der Tabelle Message können Sie die E-Mails sehen.

Microsoft Outlook

Wenn Exchange-Server oder Outlook-Clients verwendet werden, gibt es einige MAPI-Header:

  • Mapi-Client-Submit-Time: Zeit des Systems, als die E-Mail gesendet wurde
  • Mapi-Conversation-Index: Anzahl der Kindernachrichten des Threads und Zeitstempel jeder Nachricht des Threads
  • Mapi-Entry-ID: Nachrichtenidentifikator.
  • Mappi-Message-Flags und Pr_last_Verb-Executed: Informationen über den MAPI-Client (Nachricht gelesen? Nicht gelesen? Beantwortet? Weitergeleitet? Abwesend?)

Im Microsoft Outlook-Client werden alle gesendeten/empfangenen Nachrichten, Kontaktdaten und Kalenderdaten in einer PST-Datei gespeichert unter:

  • %USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook (WinXP)
  • %USERPROFILE%\AppData\Local\Microsoft\Outlook

Der Registrierungspfad HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook gibt an, welche Datei verwendet wird.

Sie können die PST-Datei mit dem Tool Kernel PST Viewer öffnen.

Microsoft Outlook OST-Dateien

Eine OST-Datei wird von Microsoft Outlook generiert, wenn es mit einem IMAP- oder einem Exchange-Server konfiguriert ist und ähnliche Informationen wie eine PST-Datei speichert. Diese Datei wird mit dem Server synchronisiert, behält Daten für die letzten 12 Monate bis zu einer maximalen Größe von 50 GB bei und befindet sich im selben Verzeichnis wie die PST-Datei. Um eine OST-Datei anzuzeigen, kann der Kernel OST-Viewer verwendet werden.

Abrufen von Anhängen

Verlorene Anhänge können aus folgenden Orten wiederhergestellt werden:

  • Für IE10: %APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook
  • Für IE11 und höher: %APPDATA%\Local\Microsoft\InetCache\Content.Outlook

Thunderbird MBOX-Dateien

Thunderbird verwendet MBOX-Dateien zur Speicherung von Daten, die sich unter \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles befinden.

Bildvorschauen

  • Windows XP und 8-8.1: Der Zugriff auf einen Ordner mit Miniaturansichten erzeugt eine thumbs.db-Datei, die Bildvorschauen speichert, auch nach dem Löschen.
  • Windows 7/10: thumbs.db wird erstellt, wenn über einen Netzwerkpfad über UNC zugegriffen wird.
  • Windows Vista und neuere Versionen: Miniaturansichten sind zentralisiert in %userprofile%\AppData\Local\Microsoft\Windows\Explorer mit Dateien namens thumbcache_xxx.db. Thumbsviewer und ThumbCache Viewer sind Tools zum Anzeigen dieser Dateien.

Windows-Registrierungsinformationen

Die Windows-Registrierung, die umfangreiche System- und Benutzeraktivitätsdaten speichert, ist in Dateien enthalten unter:

  • %windir%\System32\Config für verschiedene HKEY_LOCAL_MACHINE-Unterschlüssel.
  • %UserProfile%{Benutzer}\NTUSER.DAT für HKEY_CURRENT_USER.
  • Windows Vista und neuere Versionen sichern die Registrierungsdateien von HKEY_LOCAL_MACHINE zusätzlich in %Windir%\System32\Config\RegBack\.
  • Darüber hinaus werden Informationen zur Programmausführung in %UserProfile%\{Benutzer}\AppData\Local\Microsoft\Windows\USERCLASS.DAT ab Windows Vista und Windows 2008 Server gespeichert.

Tools

Einige Tools sind nützlich zur Analyse der Registrierungsdateien:

  • Registrierungseditor: Er ist in Windows installiert. Es ist eine grafische Benutzeroberfläche zum Navigieren durch die Windows-Registrierung der aktuellen Sitzung.
  • Registry Explorer: Es ermöglicht das Laden der Registrierungsdatei und das Navigieren durch sie mit einer grafischen Benutzeroberfläche. Es enthält auch Lesezeichen, die Schlüssel mit interessanten Informationen hervorheben.
  • RegRipper: Auch hier gibt es eine grafische Benutzeroberfläche, die es ermöglicht, durch die geladene Registrierung zu navigieren und enthält auch Plugins, die interessante Informationen in der geladenen Registrierung hervorheben.
  • Windows Registry Recovery: Eine weitere GUI-Anwendung, die in der Lage ist, wichtige Informationen aus der geladenen Registrierung zu extrahieren.

Wiederherstellen eines gelöschten Elements

Wenn ein Schlüssel gelöscht wird, wird er als solcher markiert, aber bis der Platz, den er einnimmt, benötigt wird, wird er nicht entfernt. Daher ist es mit Tools wie Registry Explorer möglich, diese gelöschten Schlüssel wiederherzustellen.

Letzte Schreibzeit

Jeder Schlüssel-Wert enthält einen Zeitstempel, der angibt, wann er zuletzt geändert wurde.

SAM

Die Datei/Hive SAM enthält die Benutzer-, Gruppen- und Benutzerpasswort-Hashes des Systems.

In SAM\Domains\Account\Users können Sie den Benutzernamen, die RID, den letzten Login, den letzten fehlgeschlagenen Login, den Login-Zähler, die Passwortrichtlinie und das Erstellungsdatum des Kontos erhalten. Um die Hashes zu erhalten, benötigen Sie auch die Datei/Hive SYSTEM.

Interessante Einträge in der Windows-Registrierung

{% content-ref url="interesting-windows-registry-keys.md" %} interesting-windows-registry-keys.md {% endcontent-ref %}

Ausgeführte Programme

Grundlegende Windows-Prozesse

In diesem Beitrag können Sie mehr über die gängigen Windows-Prozesse erfahren, um verdächtige Verhaltensweisen zu erkennen.

Windows Zuletzt verwendete APPs

In der Registrierung NTUSER.DAT im Pfad Software\Microsoft\Current Version\Search\RecentApps finden Sie Unterschlüssel mit Informationen über die ausgeführte Anwendung, den letzten Zeitpunkt der Ausführung und die Anzahl der Ausführungen.

BAM (Hintergrundaktivitätsmoderator)

Sie können die Datei SYSTEM mit einem Registrierungseditor öffnen und im Pfad SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} Informationen über die von jedem Benutzer ausgeführten Anwendungen finden (beachten Sie die {SID} im Pfad) und zu welcher Zeit sie ausgeführt wurden (die Zeit befindet sich im Datenwert der Registrierung).

Windows Prefetch

Prefetching ist eine Technik, die es einem Computer ermöglicht, die erforderlichen Ressourcen stillschweigend abzurufen, um Inhalte anzuzeigen, auf die ein Benutzer möglicherweise in naher Zukunft zugreifen wird, damit Ressourcen schneller abgerufen werden können.

Windows Prefetch besteht darin, Caches der ausgeführten Programme zu erstellen, um sie schneller laden zu können. Diese Caches werden als .pf-Dateien im Pfad erstellt: C:\Windows\Prefetch. Es gibt eine Begrenzung von 128 Dateien in XP/VISTA/WIN7 und 1024 Dateien in Win8/Win10.

Der Dateiname wird als {Programmname}-{Hash}.pf erstellt (der Hash basiert auf dem Pfad und den Argumenten der ausführbaren Datei). In W10 sind diese Dateien komprimiert. Beachten Sie, dass allein das Vorhandensein der Datei darauf hinweist, dass das Programm zu einem bestimmten Zeitpunkt ausgeführt wurde.

Die Datei C:\Windows\Prefetch\Layout.ini enthält die Namen der Ordner der vorausgeholten Dateien. Diese Datei enthält Informationen über die Anzahl der Ausführungen, Datum der Ausführung und Dateien, die vom Programm geöffnet wurden.

Um diese Dateien zu inspizieren, können Sie das Tool PEcmd.exe verwenden:

.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"

Superprefetch

Superprefetch hat das gleiche Ziel wie prefetch, Programme schneller laden, indem vorhergesagt wird, was als nächstes geladen wird. Es ersetzt jedoch nicht den prefetch-Dienst.
Dieser Dienst generiert Datenbankdateien in C:\Windows\Prefetch\Ag*.db.

In diesen Datenbanken finden Sie den Namen des Programms, die Anzahl der Ausführungen, die geöffneten Dateien, den zugriffenen Speicher, den vollständigen Pfad, die Zeitrahmen und die Zeitstempel.

Sie können auf diese Informationen mithilfe des Tools CrowdResponse zugreifen.

SRUM

System Resource Usage Monitor (SRUM) überwacht die Ressourcen, die von einem Prozess verbraucht werden. Es erschien in W8 und speichert die Daten in einer ESE-Datenbank, die sich in C:\Windows\System32\sru\SRUDB.dat befindet.

Es liefert folgende Informationen:

  • AppID und Pfad
  • Benutzer, der den Prozess ausgeführt hat
  • Gesendete Bytes
  • Empfangene Bytes
  • Netzwerkschnittstelle
  • Verbindungsdauer
  • Prozessdauer

Diese Informationen werden alle 60 Minuten aktualisiert.

Sie können die Daten aus dieser Datei mithilfe des Tools srum_dump erhalten.

.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum

AppCompatCache (ShimCache)

Der AppCompatCache, auch bekannt als ShimCache, bildet einen Teil der von Microsoft entwickelten Application Compatibility Database, um Probleme mit der Anwendungskompatibilität zu lösen. Dieses Systemkomponente zeichnet verschiedene Stücke von Dateimetadaten auf, die Folgendes beinhalten:

  • Vollständiger Pfad der Datei
  • Dateigröße
  • Letzte Änderungszeit unter $Standard_Information (SI)
  • Letzte Aktualisierungszeit des ShimCache
  • Prozessausführungsflag

Diese Daten werden in der Registrierung an spezifischen Orten basierend auf der Version des Betriebssystems gespeichert:

  • Für XP werden die Daten unter SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache mit einer Kapazität von 96 Einträgen gespeichert.
  • Für Server 2003 sowie für Windows-Versionen 2008, 2012, 2016, 7, 8 und 10 lautet der Speicherpfad SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache, wobei jeweils 512 bzw. 1024 Einträge Platz finden.

Zur Analyse der gespeicherten Informationen wird die Verwendung des AppCompatCacheParser-Tools empfohlen.

Amcache

Die Datei Amcache.hve ist im Wesentlichen eine Registrierungshive, die Details über Anwendungen protokolliert, die auf einem System ausgeführt wurden. Sie befindet sich typischerweise unter C:\Windows\AppCompat\Programas\Amcache.hve.

Diese Datei ist bemerkenswert, da sie Aufzeichnungen über kürzlich ausgeführte Prozesse speichert, einschließlich der Pfade zu den ausführbaren Dateien und ihrer SHA1-Hashes. Diese Informationen sind von unschätzbarem Wert, um die Aktivität von Anwendungen auf einem System zu verfolgen.

Um die Daten aus Amcache.hve zu extrahieren und zu analysieren, kann das AmcacheParser-Tool verwendet werden. Das folgende Beispiel zeigt, wie AmcacheParser verwendet wird, um den Inhalt der Datei Amcache.hve zu analysieren und die Ergebnisse im CSV-Format auszugeben:

AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder

Unter den generierten CSV-Dateien ist besonders die Amcache_Unassociated file entries aufgrund der umfangreichen Informationen über nicht zugeordnete Dateieinträge hervorzuheben.

Die interessanteste generierte CVS-Datei ist die Amcache_Unassociated file entries.

RecentFileCache

Dieses Artefakt kann nur in W7 unter C:\Windows\AppCompat\Programs\RecentFileCache.bcf gefunden werden und enthält Informationen über die kürzliche Ausführung einiger Binärdateien.

Sie können das Tool RecentFileCacheParse verwenden, um die Datei zu analysieren.

Geplante Aufgaben

Sie können sie aus C:\Windows\Tasks oder C:\Windows\System32\Tasks extrahieren und als XML lesen.

Dienste

Sie finden sie in der Registrierung unter SYSTEM\ControlSet001\Services. Sie können sehen, was ausgeführt wird und wann.

Windows Store

Die installierten Anwendungen können in \ProgramData\Microsoft\Windows\AppRepository\ gefunden werden.
Dieses Repository enthält ein Protokoll mit jeder installierten Anwendung im System innerhalb der Datenbank StateRepository-Machine.srd.

In der Anwendungstabelle dieser Datenbank können die Spalten "Anwendungs-ID", "Paketnummer" und "Anzeigename" gefunden werden. Diese Spalten enthalten Informationen über vorinstallierte und installierte Anwendungen, und es kann festgestellt werden, ob einige Anwendungen deinstalliert wurden, da die IDs installierter Anwendungen sequenziell sein sollten.

Es ist auch möglich, installierte Anwendungen im Registrierungspfad zu finden: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\
Und deinstallierte Anwendungen in: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\

Windows-Ereignisse

Informationen, die in Windows-Ereignissen erscheinen, sind:

  • Was passiert ist
  • Zeitstempel (UTC + 0)
  • Beteiligte Benutzer
  • Beteiligte Hosts (Hostname, IP)
  • Zugriff auf Assets (Dateien, Ordner, Drucker, Dienste)

Die Protokolle befinden sich in C:\Windows\System32\config vor Windows Vista und in C:\Windows\System32\winevt\Logs nach Windows Vista. Vor Windows Vista waren die Ereignisprotokolle im Binärformat und danach im XML-Format und verwenden die .evtx-Erweiterung.

Der Speicherort der Ereignisdateien kann in der SYSTEM-Registrierung unter HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Anwendung|System|Sicherheit} gefunden werden.

Sie können sie aus dem Windows-Ereignisbetrachter (eventvwr.msc) oder mit anderen Tools wie Event Log Explorer oder Evtx Explorer/EvtxECmd** visualisieren.**

Verständnis der Protokollierung von Windows-Sicherheitsereignissen

Zugriffsereignisse werden in der Sicherheitskonfigurationsdatei aufgezeichnet, die sich unter C:\Windows\System32\winevt\Security.evtx befindet. Die Größe dieser Datei ist anpassbar, und wenn ihre Kapazität erreicht ist, werden ältere Ereignisse überschrieben. Aufgezeichnete Ereignisse umfassen Benutzeranmeldungen und -abmeldungen, Benutzeraktionen und Änderungen an Sicherheitseinstellungen sowie den Zugriff auf Dateien, Ordner und freigegebene Ressourcen.

Wichtige Ereignis-IDs für die Benutzerauthentifizierung:

  • Ereignis-ID 4624: Zeigt eine erfolgreiche Benutzerauthentifizierung an.
  • Ereignis-ID 4625: Signalisiert ein Authentifizierungsfehler.
  • Ereignis-IDs 4634/4647: Stellen Benutzerabmeldeereignisse dar.
  • Ereignis-ID 4672: Kennzeichnet die Anmeldung mit administrativen Berechtigungen.

Untertypen innerhalb von Ereignis-ID 4634/4647:

  • Interaktiv (2): Direkte Benutzeranmeldung.
  • Netzwerk (3): Zugriff auf freigegebene Ordner.
  • Batch (4): Ausführung von Stapelprozessen.
  • Dienst (5): Dienststarts.
  • Proxy (6): Proxy-Authentifizierung.
  • Entsperren (7): Bildschirm mit einem Passwort entsperrt.
  • Netzwerk im Klartext (8): Übertragung von Klartextpasswörtern, oft von IIS.
  • Neue Anmeldeinformationen (9): Verwendung unterschiedlicher Anmeldeinformationen für den Zugriff.
  • Remote-Interaktiv (10): Remote-Desktop- oder Terminaldienste-Anmeldung.
  • Zwischengespeichert interaktiv (11): Anmeldung mit zwischengespeicherten Anmeldeinformationen ohne Kontakt zum Domänencontroller.
  • Zwischengespeichert remote-interaktiv (12): Remote-Anmeldung mit zwischengespeicherten Anmeldeinformationen.
  • Zwischengespeichertes Entsperren (13): Entsperren mit zwischengespeicherten Anmeldeinformationen.

Status- und Untertypencodes für Ereignis-ID 4625:

  • 0xC0000064: Benutzername existiert nicht - Könnte auf einen Benutzernamensenumerationsangriff hinweisen.
  • 0xC000006A: Richtiger Benutzername, aber falsches Passwort - Möglicherweise ein Versuch zum Erraten oder Brute-Forcen von Passwörtern.
  • 0xC0000234: Benutzerkonto gesperrt - Kann auf einen Brute-Force-Angriff mit mehreren fehlgeschlagenen Anmeldungen folgen.
  • 0xC0000072: Konto deaktiviert - Nicht autorisierte Versuche, auf deaktivierte Konten zuzugreifen.
  • 0xC000006F: Anmeldung außerhalb der erlaubten Zeit - Deutet auf Versuche hin, außerhalb der festgelegten Anmeldezeiten zuzugreifen, ein mögliches Zeichen für unbefugten Zugriff.
  • 0xC0000070: Verstoß gegen die Arbeitsstationseinschränkungen - Könnte ein Versuch sein, sich von einem nicht autorisierten Ort aus anzumelden.
  • 0xC0000193: Kontoablauf - Zugriffsversuche mit abgelaufenen Benutzerkonten.
  • 0xC0000071: Abgelaufenes Passwort - Anmeldeversuche mit veralteten Passwörtern.
  • 0xC0000133: Zeit-Synchronisierungsprobleme - Große Zeitunterschiede zwischen Client und Server können auf anspruchsvollere Angriffe wie Pass-the-Ticket hinweisen.
  • 0xC0000224: Erforderliche obligatorische Passwortänderung - Häufige obligatorische Änderungen könnten darauf hindeuten, dass versucht wird, die Kontosicherheit zu destabilisieren.
  • 0xC0000225: Deutet auf einen Systemfehler hin, nicht auf ein Sicherheitsproblem.
  • 0xC000015b: Verweigerte Anmeldetyp - Zugriffsversuch mit nicht autorisiertem Anmeldetyp, z. B. ein Benutzer, der versucht, eine Dienstanmeldung auszuführen.

Ereignis-ID 4616:

  • Zeitänderung: Änderung der Systemzeit, die den Zeitplan der Ereignisse verschleiern könnte.

Ereignis-ID 6005 und 6006:

  • Systemstart und -abschaltung: Ereignis-ID 6005 zeigt den Systemstart an, während Ereignis-ID 6006 das Herunterfahren markiert.

Ereignis-ID 1102:

  • Protokolllöschung: Sicherheitsprotokolle werden gelöscht, was oft ein Warnsignal für das Vertuschen von illegalen Aktivitäten ist.

Ereignis-IDs für die Verfolgung von USB-Geräten:

  • 20001 / 20003 / 10000: Erstverbindung des USB-Geräts.
  • 10100: USB-Treiberupdate.
  • Ereignis-ID 112: Zeitpunkt des Einsteckens des USB-Geräts.

Für praktische Beispiele zur Simulation dieser Anmeldetypen und Möglichkeiten zum Auslesen von Anmeldeinformationen siehe Altered Security's detaillierten Leitfaden.

Ereignisdetails, einschließlich Status- und Untertypencodes, liefern weitere Einblicke in die Ereignisursachen, insbesondere bemerkenswert bei Ereignis-ID 4625.

Wiederherstellen von Windows-Ereignissen

Um die Chancen auf die Wiederherstellung gelöschter Windows-Ereignisse zu erhöhen, ist es ratsam, den verdächtigen Computer durch direktes Abziehen vom Stromnetz auszuschalten. Bulk_extractor, ein Wiederherstellungstool, das die Erweiterung .evtx angibt, wird empfohlen, um solche Ereignisse wiederherzustellen.

Identifizierung von häufigen Angriffen über Windows-Ereignisse

Für einen umfassenden Leitfaden zur Verwendung von Windows-Ereignis-IDs zur Identifizierung häufiger Cyberangriffe besuchen Sie Red Team Recipe.

Brute-Force-Angriffe

Identifizierbar durch mehrere Ereignis-ID 4625-Einträge, gefolgt von einem Ereignis-ID 4624, wenn der Angriff erfolgreich ist.

Zeitänderung

Aufgezeichnet durch Ereignis-ID 4616, können Änderungen an der Systemzeit die forensische Analyse erschweren.

Verfolgung von USB-Geräten

Nützliche Systemereignis-IDs für die Verfolgung von USB-Geräten sind 20001/20003/10000 für die erstmalige Verwendung, 10100 für Treiberupdates und Ereignis-ID 112 von DeviceSetupManager für Einfügezeitstempel.

System Power Events

EventID 6005 zeigt den Systemstart an, während EventID 6006 den Shutdown markiert.

Log Deletion

Sicherheits-EventID 1102 signalisiert die Löschung von Logs, ein kritisches Ereignis für forensische Analysen.

Erlernen Sie AWS-Hacking von Null auf Held mit htARTE (HackTricks AWS Red Team Expert)!

Andere Möglichkeiten, HackTricks zu unterstützen: