Windows Artifacts

Reading time: 23 minutes

Windows Artifacts

Generic Windows Artifacts

Windows 10 Notifications

पथ \Users\<username>\AppData\Local\Microsoft\Windows\Notifications में आप डेटाबेस appdb.dat (Windows anniversary से पहले) या wpndatabase.db (Windows Anniversary के बाद) पा सकते हैं।

इस SQLite डेटाबेस के अंदर, आप Notification तालिका पा सकते हैं जिसमें सभी सूचनाएँ (XML प्रारूप में) होती हैं जो दिलचस्प डेटा हो सकता है।

Timeline

Timeline एक Windows विशेषता है जो कालानुक्रमिक इतिहास प्रदान करती है वेब पृष्ठों का दौरा किया गया, संपादित दस्तावेज़, और निष्पादित अनुप्रयोग।

डेटाबेस पथ \Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db में स्थित है। इस डेटाबेस को SQLite टूल या टूल WxTCmd के साथ खोला जा सकता है जो 2 फ़ाइलें उत्पन्न करता है जिन्हें टूल TimeLine Explorer के साथ खोला जा सकता है।

ADS (Alternate Data Streams)

डाउनलोड की गई फ़ाइलों में ADS Zone.Identifier हो सकता है जो कैसे इसे डाउनलोड किया गया था, जैसे कि इंट्रानेट, इंटरनेट, आदि। कुछ सॉफ़्टवेयर (जैसे ब्राउज़र) आमतौर पर यहां तक कि अधिक जानकारी रखते हैं जैसे कि URL जहां से फ़ाइल डाउनलोड की गई थी।

File Backups

Recycle Bin

Vista/Win7/Win8/Win10 में Recycle Bin को ड्राइव के रूट में फ़ोल्डर $Recycle.bin में पाया जा सकता है (C:\$Recycle.bin).
जब इस फ़ोल्डर में एक फ़ाइल हटाई जाती है तो 2 विशिष्ट फ़ाइलें बनाई जाती हैं:

• $I{id}: फ़ाइल जानकारी (जब इसे हटाया गया था)
• $R{id}: फ़ाइल की सामग्री

इन फ़ाइलों के साथ आप टूल Rifiuti का उपयोग कर सकते हैं ताकि हटाई गई फ़ाइलों का मूल पता और यह कब हटाई गई थी (Vista – Win10 के लिए rifiuti-vista.exe का उपयोग करें)।

.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle

वॉल्यूम शैडो कॉपियाँ

शैडो कॉपी एक तकनीक है जो Microsoft Windows में शामिल है, जो कंप्यूटर फ़ाइलों या वॉल्यूम के बैकअप कॉपियाँ या स्नैपशॉट बनाने की अनुमति देती है, भले ही वे उपयोग में हों।

ये बैकअप आमतौर पर फ़ाइल सिस्टम की जड़ से \System Volume Information में स्थित होते हैं और नाम UIDs से बना होता है जो निम्नलिखित चित्र में दिखाया गया है:

ArsenalImageMounter के साथ फॉरेंसिक इमेज को माउंट करते समय, टूल ShadowCopyView का उपयोग शैडो कॉपी का निरीक्षण करने और यहां तक कि शैडो कॉपी बैकअप से फाइलें निकालने के लिए किया जा सकता है।

रजिस्ट्री प्रविष्टि HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestore उन फ़ाइलों और कुंजियों को बैकअप न करने के लिए शामिल करती है:

रजिस्ट्री HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSS में वॉल्यूम शैडो कॉपियाँ के बारे में कॉन्फ़िगरेशन जानकारी भी शामिल है।

ऑफिस ऑटोसेव्ड फाइलें

आप ऑफिस ऑटोसेव्ड फाइलें निम्नलिखित स्थान पर पा सकते हैं: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\

शेल आइटम

एक शेल आइटम एक ऐसा आइटम है जिसमें किसी अन्य फ़ाइल तक पहुँचने के बारे में जानकारी होती है।

हाल के दस्तावेज़ (LNK)

Windows स्वचालित रूप से इन शॉर्टकट्स को तब बनाता है जब उपयोगकर्ता एक फ़ाइल खोलता है, उपयोग करता है या बनाता है:

• Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
• ऑफिस: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\

जब एक फ़ोल्डर बनाया जाता है, तो फ़ोल्डर, पैरेंट फ़ोल्डर और दादा फ़ोल्डर के लिए एक लिंक भी बनाया जाता है।

ये स्वचालित रूप से बनाए गए लिंक फ़ाइलें उद्गम के बारे में जानकारी रखती हैं जैसे कि यह फ़ाइल या फ़ोल्डर है, उस फ़ाइल के MAC समय, फ़ाइल कहाँ संग्रहीत है उसका वॉल्यूम जानकारी और लक्षित फ़ाइल का फ़ोल्डर। यह जानकारी उन फ़ाइलों को पुनर्प्राप्त करने में सहायक हो सकती है यदि वे हटा दी गई हों।

इसके अलावा, लिंक फ़ाइल की तारीख बनाई गई वह पहली बार है जब मूल फ़ाइल पहली बार उपयोग की गई और लिंक फ़ाइल की तारीख संशोधित वह अंतिम बार है जब मूल फ़ाइल का उपयोग किया गया था।

इन फ़ाइलों का निरीक्षण करने के लिए आप LinkParser का उपयोग कर सकते हैं।

इस टूल में आपको 2 सेट टाइमस्टैम्प मिलेंगे:

• पहला सेट:

1. FileModifiedDate
2. FileAccessDate
3. FileCreationDate

• दूसरा सेट:

1. LinkModifiedDate
2. LinkAccessDate
3. LinkCreationDate।

पहले सेट का टाइमस्टैम्प फ़ाइल के स्वयं के टाइमस्टैम्प को संदर्भित करता है। दूसरा सेट लिंक की गई फ़ाइल के टाइमस्टैम्प को संदर्भित करता है।

आप Windows CLI टूल चलाकर समान जानकारी प्राप्त कर सकते हैं: LECmd.exe

LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs

इस मामले में, जानकारी एक CSV फ़ाइल के अंदर सहेजी जाएगी।

जम्पलिस्ट

ये हाल के फ़ाइलें हैं जो प्रत्येक एप्लिकेशन के लिए इंगित की गई हैं। यह एक एप्लिकेशन द्वारा उपयोग की गई हाल की फ़ाइलों की सूची है जिसे आप प्रत्येक एप्लिकेशन पर एक्सेस कर सकते हैं। इन्हें स्वचालित रूप से या कस्टम रूप से बनाया जा सकता है।

स्वचालित रूप से बनाए गए जम्पलिस्ट C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\ में संग्रहीत होते हैं। जम्पलिस्ट का नाम {id}.autmaticDestinations-ms प्रारूप का पालन करता है जहाँ प्रारंभिक ID एप्लिकेशन की ID है।

कस्टम जम्पलिस्ट C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\ में संग्रहीत होते हैं और इन्हें आमतौर पर एप्लिकेशन द्वारा बनाया जाता है क्योंकि फ़ाइल के साथ कुछ महत्वपूर्ण हुआ है (शायद पसंदीदा के रूप में चिह्नित किया गया है)

किसी भी जम्पलिस्ट का निर्माण समय पहली बार फ़ाइल के एक्सेस किए जाने का समय और संशोधित समय अंतिम बार को इंगित करता है।

आप जम्पलिस्ट की जांच JumplistExplorer का उपयोग करके कर सकते हैं।

(ध्यान दें कि JumplistExplorer द्वारा प्रदान किए गए टाइमस्टैम्प जम्पलिस्ट फ़ाइल से संबंधित हैं)

शेलबैग

शेलबैग क्या हैं, यह जानने के लिए इस लिंक का पालन करें।

Windows USBs का उपयोग

यह पहचानना संभव है कि एक USB डिवाइस का उपयोग किया गया था, निम्नलिखित के निर्माण के कारण:

• Windows हाल की फ़ोल्डर
• Microsoft Office हाल की फ़ोल्डर
• जम्पलिस्ट

ध्यान दें कि कुछ LNK फ़ाइल मूल पथ की ओर इशारा करने के बजाय WPDNSE फ़ोल्डर की ओर इशारा करती है:

WPDNSE फ़ोल्डर में फ़ाइलें मूल फ़ाइलों की एक प्रति हैं, इसलिए ये PC के पुनरारंभ के दौरान जीवित नहीं रहेंगी और GUID एक शेलबैग से लिया गया है।

रजिस्ट्री जानकारी

यह पृष्ठ देखें कि कौन से रजिस्ट्री कुंजी USB जुड़े उपकरणों के बारे में दिलचस्प जानकारी रखती हैं।

सेटअपएपीआई

USB कनेक्शन कब उत्पन्न हुआ, इसके बारे में टाइमस्टैम्प प्राप्त करने के लिए फ़ाइल C:\Windows\inf\setupapi.dev.log की जांच करें ( Section start के लिए खोजें)।

USB डिटेक्टिव

USBDetective का उपयोग उन USB उपकरणों के बारे में जानकारी प्राप्त करने के लिए किया जा सकता है जो एक छवि से जुड़े हुए हैं।

प्लग एंड प्ले क्लीनअप

'प्लग एंड प्ले क्लीनअप' के रूप में ज्ञात अनुसूचित कार्य मुख्य रूप से पुराने ड्राइवर संस्करणों को हटाने के लिए डिज़ाइन किया गया है। इसके निर्दिष्ट उद्देश्य के विपरीत कि नवीनतम ड्राइवर पैकेज संस्करण को बनाए रखा जाए, ऑनलाइन स्रोतों का सुझाव है कि यह 30 दिनों से निष्क्रिय ड्राइवरों को भी लक्षित करता है। परिणामस्वरूप, पिछले 30 दिनों में जुड़े नहीं होने वाले हटाने योग्य उपकरणों के ड्राइवरों को हटाने के अधीन किया जा सकता है।

यह कार्य निम्नलिखित पथ पर स्थित है: C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup.

कार्य की सामग्री को दर्शाने वाली एक स्क्रीनशॉट प्रदान की गई है:

कार्य के प्रमुख घटक और सेटिंग्स:

• pnpclean.dll: यह DLL वास्तविक सफाई प्रक्रिया के लिए जिम्मेदार है।
• UseUnifiedSchedulingEngine: TRUE पर सेट, सामान्य कार्य अनुसूची इंजन के उपयोग को इंगित करता है।
• MaintenanceSettings:
• Period ('P1M'): कार्य शेड्यूलर को नियमित स्वचालित रखरखाव के दौरान मासिक सफाई कार्य शुरू करने के लिए निर्देशित करता है।
• Deadline ('P2M'): कार्य शेड्यूलर को निर्देशित करता है, यदि कार्य दो लगातार महीनों के लिए विफल रहता है, तो आपातकालीन स्वचालित रखरखाव के दौरान कार्य को निष्पादित करें।

यह कॉन्फ़िगरेशन नियमित रखरखाव और ड्राइवरों की सफाई सुनिश्चित करता है, लगातार विफलताओं के मामले में कार्य को फिर से प्रयास करने के लिए प्रावधानों के साथ।

अधिक जानकारी के लिए देखें: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html

ईमेल

ईमेल में 2 दिलचस्प भाग होते हैं: ईमेल के हेडर और सामग्री। हेडर में आप जानकारी पा सकते हैं जैसे:

• किसने ईमेल भेजे (ईमेल पता, IP, मेल सर्वर जिन्होंने ईमेल को पुनर्निर्देशित किया)
• कब ईमेल भेजा गया था

इसके अलावा, References और In-Reply-To हेडर के अंदर आप संदेशों की ID पा सकते हैं:

Windows मेल ऐप

यह एप्लिकेशन ईमेल को HTML या टेक्स्ट में सहेजता है। आप ईमेल को \Users\<username>\AppData\Local\Comms\Unistore\data\3\ के अंदर उपफोल्डरों में पा सकते हैं। ईमेल को .dat एक्सटेंशन के साथ सहेजा जाता है।

ईमेल और संपर्कों का मेटाडेटा EDB डेटाबेस के अंदर पाया जा सकता है: \Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol

फाइल का एक्सटेंशन .vol से .edb में बदलें और आप इसे खोलने के लिए ESEDatabaseView टूल का उपयोग कर सकते हैं। Message तालिका के अंदर आप ईमेल देख सकते हैं।

Microsoft Outlook

जब एक्सचेंज सर्वर या आउटलुक क्लाइंट का उपयोग किया जाता है, तो कुछ MAPI हेडर होंगे:

• Mapi-Client-Submit-Time: समय जब ईमेल भेजा गया था
• Mapi-Conversation-Index: थ्रेड के बच्चों के संदेशों की संख्या और थ्रेड के प्रत्येक संदेश का टाइमस्टैम्प
• Mapi-Entry-ID: संदेश पहचानकर्ता।
• Mappi-Message-Flags और Pr_last_Verb-Executed: MAPI क्लाइंट के बारे में जानकारी (संदेश पढ़ा गया? नहीं पढ़ा गया? उत्तर दिया? पुनर्निर्देशित? कार्यालय से बाहर?)

Microsoft Outlook क्लाइंट में, सभी भेजे गए/प्राप्त संदेश, संपर्क डेटा, और कैलेंडर डेटा PST फ़ाइल में संग्रहीत होते हैं:

• %USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook (WinXP)
• %USERPROFILE%\AppData\Local\Microsoft\Outlook

रजिस्ट्री पथ HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlook उस फ़ाइल को इंगित करता है जिसका उपयोग किया जा रहा है।

आप PST फ़ाइल को Kernel PST Viewer टूल का उपयोग करके खोल सकते हैं।

Microsoft Outlook OST फ़ाइलें

एक OST फ़ाइल Microsoft Outlook द्वारा तब उत्पन्न होती है जब इसे IMAP या एक्सचेंज सर्वर के साथ कॉन्फ़िगर किया जाता है, जो PST फ़ाइल के समान जानकारी संग्रहीत करती है। यह फ़ाइल सर्वर के साथ समन्वयित होती है, अंतिम 12 महीनों के लिए डेटा बनाए रखती है, अधिकतम आकार 50GB तक, और PST फ़ाइल के समान निर्देशिका में स्थित होती है। OST फ़ाइल देखने के लिए, Kernel OST viewer का उपयोग किया जा सकता है।

अटैचमेंट पुनर्प्राप्त करना

खोई हुई अटैचमेंट को पुनर्प्राप्त किया जा सकता है:

• IE10 के लिए: %APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook
• IE11 और ऊपर के लिए: %APPDATA%\Local\Microsoft\InetCache\Content.Outlook

थंडरबर्ड MBOX फ़ाइलें

थंडरबर्ड MBOX फ़ाइलों का उपयोग डेटा संग्रहीत करने के लिए करता है, जो \Users\%USERNAME%\AppData\Roaming\Thunderbird\Profiles में स्थित होती हैं।

छवि थंबनेल

• Windows XP और 8-8.1: थंबनेल के साथ एक फ़ोल्डर को एक्सेस करने से एक thumbs.db फ़ाइल उत्पन्न होती है जो छवि पूर्वावलोकन संग्रहीत करती है, यहां तक कि हटाने के बाद भी।
• Windows 7/10: thumbs.db तब बनाया जाता है जब UNC पथ के माध्यम से नेटवर्क पर एक्सेस किया जाता है।
• Windows Vista और नए: थंबनेल पूर्वावलोकन %userprofile%\AppData\Local\Microsoft\Windows\Explorer में केंद्रीकृत होते हैं जिनके फ़ाइलें thumbcache_xxx.db नाम की होती हैं। Thumbsviewer और ThumbCache Viewer इन फ़ाइलों को देखने के लिए उपकरण हैं।

Windows रजिस्ट्री जानकारी

Windows रजिस्ट्री, जो व्यापक प्रणाली और उपयोगकर्ता गतिविधि डेटा संग्रहीत करती है, निम्नलिखित फ़ाइलों में निहित होती है:

• विभिन्न HKEY_LOCAL_MACHINE उपकुंजियों के लिए %windir%\System32\Config में।
• HKEY_CURRENT_USER के लिए %UserProfile%{User}\NTUSER.DAT में।
• Windows Vista और बाद के संस्करण HKEY_LOCAL_MACHINE रजिस्ट्री फ़ाइलों का बैकअप %Windir%\System32\Config\RegBack\ में करते हैं।
• इसके अतिरिक्त, प्रोग्राम निष्पादन की जानकारी %UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DAT में Windows Vista और Windows 2008 Server से आगे संग्रहीत होती है।

उपकरण

कुछ उपकरण रजिस्ट्री फ़ाइलों का विश्लेषण करने के लिए उपयोगी हैं:

• रजिस्ट्री संपादक: यह Windows में स्थापित है। यह वर्तमान सत्र की Windows रजिस्ट्री के माध्यम से नेविगेट करने के लिए एक GUI है।
• Registry Explorer: यह आपको रजिस्ट्री फ़ाइल को लोड करने और GUI के साथ उनके माध्यम से नेविगेट करने की अनुमति देता है। इसमें दिलचस्प जानकारी वाले कुंजियों को उजागर करने वाले बुकमार्क भी होते हैं।
• RegRipper: फिर से, इसमें एक GUI है जो लोड की गई रजिस्ट्री के माध्यम से नेविगेट करने की अनुमति देता है और इसमें प्लगइन्स होते हैं जो लोड की गई रजिस्ट्री के अंदर दिलचस्प जानकारी को उजागर करते हैं।
• Windows Registry Recovery: एक और GUI एप्लिकेशन जो लोड की गई रजिस्ट्री से महत्वपूर्ण जानकारी निकालने में सक्षम है।

हटाए गए तत्व को पुनर्प्राप्त करना

जब एक कुंजी को हटाया जाता है, तो इसे इस तरह से चिह्नित किया जाता है, लेकिन जब तक यह स्थान आवश्यक नहीं होता, तब तक इसे हटाया नहीं जाएगा। इसलिए, Registry Explorer जैसे उपकरणों का उपयोग करके इन हटाई गई कुंजियों को पुनर्प्राप्त करना संभव है।

अंतिम लेखन समय

प्रत्येक कुंजी-मूल्य में एक टाइमस्टैम्प होता है जो अंतिम बार संशोधित किए जाने का समय इंगित करता है।

SAM

फ़ाइल/हाइव SAM में उपयोगकर्ताओं, समूहों और उपयोगकर्ताओं के पासवर्ड हैश होते हैं।

SAM\Domains\Account\Users में आप उपयोगकर्ता नाम, RID, अंतिम लॉगिन, अंतिम विफल लॉगिन, लॉगिन काउंटर, पासवर्ड नीति और जब खाता बनाया गया था, प्राप्त कर सकते हैं। हैश प्राप्त करने के लिए आपको फ़ाइल/हाइव SYSTEM की भी आवश्यकता है।

Windows रजिस्ट्री में दिलचस्प प्रविष्टियाँ

Interesting Windows Registry Keys

निष्पादित कार्यक्रम

बुनियादी Windows प्रक्रियाएँ

इस पोस्ट में आप संदिग्ध व्यवहार का पता लगाने के लिए सामान्य Windows प्रक्रियाओं के बारे में जान सकते हैं।

Windows हाल की ऐप्स

रजिस्ट्री NTUSER.DAT के अंदर पथ Software\Microsoft\Current Version\Search\RecentApps में आप निष्पादित एप्लिकेशन, अंतिम बार इसे निष्पादित किया गया था, और कितनी बार इसे लॉन्च किया गया था, के बारे में जानकारी के साथ उपकुंजियाँ पा सकते हैं।

BAM (बैकग्राउंड गतिविधि मॉडरेटर)

आप रजिस्ट्री संपादक के साथ SYSTEM फ़ाइल खोल सकते हैं और पथ SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID} के अंदर आप प्रत्येक उपयोगकर्ता द्वारा निष्पादित एप्लिकेशन (पथ में {SID} नोट करें) और कब उन्हें निष्पादित किया गया था, के बारे में जानकारी पा सकते हैं (समय रजिस्ट्री के डेटा मान के अंदर है)।

Windows प्रीफेच

प्रीफेचिंग एक तकनीक है जो एक कंप्यूटर को चुपचाप सामग्री प्रदर्शित करने के लिए आवश्यक संसाधनों को लाने की अनुमति देती है जिसे एक उपयोगकर्ता निकट भविष्य में एक्सेस कर सकता है ताकि संसाधनों को तेजी से एक्सेस किया जा सके।

Windows प्रीफेच में निष्पादित कार्यक्रमों के कैश बनाने की प्रक्रिया होती है ताकि उन्हें तेजी से लोड किया जा सके। ये कैश .pf फ़ाइलों के रूप में पथ: C:\Windows\Prefetch के अंदर बनाए जाते हैं। XP/VISTA/WIN7 में फ़ाइलों की सीमा 128 है और Win8/Win10 में 1024 फ़ाइलें हैं।

फ़ाइल का नाम {program_name}-{hash}.pf के रूप में बनाया जाता है (हैश पथ और निष्पादनीय के तर्कों पर आधारित होता है)। W10 में ये फ़ाइलें संकुचित होती हैं। ध्यान दें कि फ़ाइल की केवल उपस्थिति यह संकेत देती है कि कार्यक्रम को किसी बिंदु पर निष्पादित किया गया था।

फ़ाइल C:\Windows\Prefetch\Layout.ini में प्रीफेच की गई फ़ाइलों के फ़ोल्डरों के नाम होते हैं। इस फ़ाइल में निष्पादन की संख्या, निष्पादन की तिथियाँ और फ़ाइलें खुली होती हैं जो कार्यक्रम द्वारा खोली गई हैं।

इन फ़ाइलों की जांच करने के लिए आप टूल PEcmd.exe का उपयोग कर सकते हैं:

.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"

Superprefetch

Superprefetch का वही लक्ष्य है जो prefetch का है, कार्यक्रमों को तेजी से लोड करना यह अनुमान लगाकर कि अगला क्या लोड होने वाला है। हालाँकि, यह prefetch सेवा का स्थान नहीं लेता।
यह सेवा C:\Windows\Prefetch\Ag*.db में डेटाबेस फ़ाइलें उत्पन्न करेगी।

इन डेटाबेस में आप कार्यक्रम का नाम, कार्यवाही की संख्या, खुले फ़ाइलें, एक्सेस किया गया वॉल्यूम, पूर्ण पथ, समय सीमा और टाइमस्टैम्प पा सकते हैं।

आप इस जानकारी को CrowdResponse उपकरण का उपयोग करके एक्सेस कर सकते हैं।

SRUM

System Resource Usage Monitor (SRUM) एक प्रक्रिया द्वारा उपभोग किए गए संसाधनों की निगरानी करता है। यह W8 में प्रकट हुआ और यह डेटा को C:\Windows\System32\sru\SRUDB.dat में ESE डेटाबेस में संग्रहीत करता है।

यह निम्नलिखित जानकारी प्रदान करता है:

• AppID और पथ
• उपयोगकर्ता जिसने प्रक्रिया को निष्पादित किया
• भेजे गए बाइट्स
• प्राप्त बाइट्स
• नेटवर्क इंटरफ़ेस
• कनेक्शन की अवधि
• प्रक्रिया की अवधि

यह जानकारी हर 60 मिनट में अपडेट होती है।

आप इस फ़ाइल से डेटा प्राप्त करने के लिए srum_dump उपकरण का उपयोग कर सकते हैं।

.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum

AppCompatCache (ShimCache)

AppCompatCache, जिसे ShimCache के नाम से भी जाना जाता है, Microsoft द्वारा विकसित Application Compatibility Database का एक हिस्सा है, जो एप्लिकेशन संगतता समस्याओं को हल करने के लिए है। यह सिस्टम घटक विभिन्न फ़ाइल मेटाडेटा के टुकड़ों को रिकॉर्ड करता है, जिसमें शामिल हैं:

• फ़ाइल का पूरा पथ
• फ़ाइल का आकार
• $Standard_Information (SI) के तहत अंतिम संशोधित समय
• ShimCache का अंतिम अपडेट समय
• प्रक्रिया निष्पादन ध्वज

इस तरह का डेटा ऑपरेटिंग सिस्टम के संस्करण के आधार पर विशिष्ट स्थानों पर रजिस्ट्री में संग्रहीत होता है:

• XP के लिए, डेटा SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache के तहत संग्रहीत होता है, जिसमें 96 प्रविष्टियों की क्षमता होती है।
• सर्वर 2003 के लिए, साथ ही Windows संस्करण 2008, 2012, 2016, 7, 8, और 10 के लिए, संग्रहण पथ SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache है, जो क्रमशः 512 और 1024 प्रविष्टियों को समायोजित करता है।

संग्रहीत जानकारी को पार्स करने के लिए, AppCompatCacheParser tool का उपयोग करने की सिफारिश की जाती है।

Amcache

Amcache.hve फ़ाइल मूल रूप से एक रजिस्ट्री हाइव है जो सिस्टम पर निष्पादित एप्लिकेशनों के बारे में विवरण लॉग करती है। यह आमतौर पर C:\Windows\AppCompat\Programas\Amcache.hve पर पाई जाती है।

यह फ़ाइल हाल ही में निष्पादित प्रक्रियाओं के रिकॉर्ड को संग्रहीत करने के लिए उल्लेखनीय है, जिसमें निष्पादन योग्य फ़ाइलों के पथ और उनके SHA1 हैश शामिल हैं। यह जानकारी सिस्टम पर एप्लिकेशनों की गतिविधियों को ट्रैक करने के लिए अमूल्य है।

Amcache.hve से डेटा निकालने और विश्लेषण करने के लिए, AmcacheParser tool का उपयोग किया जा सकता है। निम्नलिखित कमांड Amcache.hve फ़ाइल की सामग्री को पार्स करने और परिणामों को CSV प्रारूप में आउटपुट करने के लिए AmcacheParser का उपयोग करने का एक उदाहरण है:

AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder

उत्पन्न CSV फ़ाइलों में, Amcache_Unassociated file entries विशेष रूप से ध्यान देने योग्य है क्योंकि यह असंबंधित फ़ाइल प्रविष्टियों के बारे में समृद्ध जानकारी प्रदान करता है।

उत्पन्न सबसे दिलचस्प CVS फ़ाइल Amcache_Unassociated file entries है।

RecentFileCache

यह कलाकृति केवल W7 में C:\Windows\AppCompat\Programs\RecentFileCache.bcf में पाई जा सकती है और इसमें कुछ बाइनरी के हालिया निष्पादन के बारे में जानकारी होती है।

आप फ़ाइल को पार्स करने के लिए उपकरण RecentFileCacheParse का उपयोग कर सकते हैं।

Scheduled tasks

आप इन्हें C:\Windows\Tasks या C:\Windows\System32\Tasks से निकाल सकते हैं और XML के रूप में पढ़ सकते हैं।

Services

आप इन्हें रजिस्ट्री में SYSTEM\ControlSet001\Services के तहत पा सकते हैं। आप देख सकते हैं कि क्या निष्पादित होने वाला है और कब।

Windows Store

स्थापित अनुप्रयोग \ProgramData\Microsoft\Windows\AppRepository\ में पाए जा सकते हैं।
इस भंडार में लॉग है जिसमें प्रत्येक स्थापित अनुप्रयोग का विवरण है जो सिस्टम के अंदर StateRepository-Machine.srd डेटाबेस में है।

इस डेटाबेस के अनुप्रयोग तालिका के अंदर, "Application ID", "PackageNumber", और "Display Name" जैसे कॉलम पाए जा सकते हैं। ये कॉलम पूर्व-स्थापित और स्थापित अनुप्रयोगों के बारे में जानकारी रखते हैं और यह पता लगाया जा सकता है कि क्या कुछ अनुप्रयोगों को अनइंस्टॉल किया गया था क्योंकि स्थापित अनुप्रयोगों के IDs अनुक्रमिक होने चाहिए।

आप रजिस्ट्री पथ में भी स्थापित अनुप्रयोग पा सकते हैं: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\
और अनइंस्टॉल अनुप्रयोग में: Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\

Windows Events

Windows घटनाओं के अंदर जो जानकारी दिखाई देती है वह है:

• क्या हुआ
• टाइमस्टैम्प (UTC + 0)
• शामिल उपयोगकर्ता
• शामिल होस्ट (hostname, IP)
• पहुंची गई संपत्तियां (फाइलें, फ़ोल्डर, प्रिंटर, सेवाएं)

लॉग C:\Windows\System32\config में Windows Vista से पहले और C:\Windows\System32\winevt\Logs में Windows Vista के बाद स्थित हैं। Windows Vista से पहले, इवेंट लॉग बाइनरी प्रारूप में थे और इसके बाद, वे XML प्रारूप में हैं और .evtx एक्सटेंशन का उपयोग करते हैं।

इवेंट फ़ाइलों का स्थान SYSTEM रजिस्ट्री में HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security} में पाया जा सकता है।

इन्हें Windows Event Viewer (eventvwr.msc) से या अन्य उपकरणों जैसे Event Log Explorer या Evtx Explorer/EvtxECmd** से देखा जा सकता है।**

Understanding Windows Security Event Logging

एक्सेस इवेंट्स सुरक्षा कॉन्फ़िगरेशन फ़ाइल में दर्ज होते हैं जो C:\Windows\System32\winevt\Security.evtx पर स्थित है। इस फ़ाइल का आकार समायोज्य है, और जब इसकी क्षमता पूरी हो जाती है, तो पुराने इवेंट्स को ओवरराइट किया जाता है। दर्ज इवेंट्स में उपयोगकर्ता लॉगिन और लॉगऑफ, उपयोगकर्ता क्रियाएँ, और सुरक्षा सेटिंग्स में परिवर्तन, साथ ही फ़ाइल, फ़ोल्डर, और साझा संपत्ति की पहुंच शामिल होती है।

Key Event IDs for User Authentication:

• EventID 4624: संकेत करता है कि एक उपयोगकर्ता सफलतापूर्वक प्रमाणित हुआ।
• EventID 4625: एक प्रमाणीकरण विफलता का संकेत देता है।
• EventIDs 4634/4647: उपयोगकर्ता लॉगऑफ इवेंट्स का प्रतिनिधित्व करते हैं।
• EventID 4672: प्रशासनिक विशेषाधिकारों के साथ लॉगिन को दर्शाता है।

Sub-types within EventID 4634/4647:

• Interactive (2): प्रत्यक्ष उपयोगकर्ता लॉगिन।
• Network (3): साझा फ़ोल्डरों तक पहुंच।
• Batch (4): बैच प्रक्रियाओं का निष्पादन।
• Service (5): सेवा लॉन्च।
• Proxy (6): प्रॉक्सी प्रमाणीकरण।
• Unlock (7): पासवर्ड के साथ स्क्रीन अनलॉक।
• Network Cleartext (8): स्पष्ट पाठ पासवर्ड ट्रांसमिशन, अक्सर IIS से।
• New Credentials (9): पहुंच के लिए विभिन्न क्रेडेंशियल्स का उपयोग।
• Remote Interactive (10): रिमोट डेस्कटॉप या टर्मिनल सेवाओं का लॉगिन।
• Cache Interactive (11): डोमेन कंट्रोलर संपर्क के बिना कैश किए गए क्रेडेंशियल्स के साथ लॉगिन।
• Cache Remote Interactive (12): कैश किए गए क्रेडेंशियल्स के साथ रिमोट लॉगिन।
• Cached Unlock (13): कैश किए गए क्रेडेंशियल्स के साथ अनलॉक करना।

Status and Sub Status Codes for EventID 4625:

• 0xC0000064: उपयोगकर्ता नाम मौजूद नहीं है - यह एक उपयोगकर्ता नाम enumeration हमले का संकेत दे सकता है।
• 0xC000006A: सही उपयोगकर्ता नाम लेकिन गलत पासवर्ड - संभावित पासवर्ड अनुमान या ब्रूट-फोर्स प्रयास।
• 0xC0000234: उपयोगकर्ता खाता लॉक हो गया - कई विफल लॉगिन के परिणामस्वरूप ब्रूट-फोर्स हमले का पालन कर सकता है।
• 0xC0000072: खाता निष्क्रिय - निष्क्रिय खातों तक पहुंच के लिए अनधिकृत प्रयास।
• 0xC000006F: अनुमत समय के बाहर लॉगिन - सेट लॉगिन घंटों के बाहर पहुंच के प्रयासों का संकेत, अनधिकृत पहुंच का संभावित संकेत।
• 0xC0000070: कार्यस्थल प्रतिबंधों का उल्लंघन - अनधिकृत स्थान से लॉगिन का प्रयास हो सकता है।
• 0xC0000193: खाता समाप्ति - समाप्त उपयोगकर्ता खातों के साथ पहुंच के प्रयास।
• 0xC0000071: समाप्त पासवर्ड - पुरानी पासवर्ड के साथ लॉगिन प्रयास।
• 0xC0000133: समय समन्वय मुद्दे - क्लाइंट और सर्वर के बीच बड़े समय के अंतर अधिक जटिल हमलों जैसे पास-दी-टिकट का संकेत दे सकते हैं।
• 0xC0000224: अनिवार्य पासवर्ड परिवर्तन की आवश्यकता - बार-बार अनिवार्य परिवर्तन सुरक्षा को अस्थिर करने के प्रयास का सुझाव दे सकते हैं।
• 0xC0000225: सुरक्षा मुद्दे के बजाय सिस्टम बग का संकेत देता है।
• 0xC000015b: अस्वीकृत लॉगिन प्रकार - अनधिकृत लॉगिन प्रकार के साथ पहुंच का प्रयास, जैसे कि एक उपयोगकर्ता सेवा लॉगिन निष्पादित करने की कोशिश कर रहा है।

EventID 4616:

• Time Change: सिस्टम समय में संशोधन, जो घटनाओं की समयरेखा को अस्पष्ट कर सकता है।

EventID 6005 और 6006:

• System Startup and Shutdown: EventID 6005 सिस्टम के चालू होने का संकेत देता है, जबकि EventID 6006 इसे बंद करने का संकेत देता है।

EventID 1102:

• Log Deletion: सुरक्षा लॉग को साफ करना, जो अक्सर अवैध गतिविधियों को छिपाने के लिए एक लाल झंडा होता है।

EventIDs for USB Device Tracking:

• 20001 / 20003 / 10000: USB डिवाइस का पहला कनेक्शन।
• 10100: USB ड्राइवर अपडेट।
• EventID 112: USB डिवाइस के सम्मिलन का समय।

इन लॉगिन प्रकारों और क्रेडेंशियल डंपिंग के अवसरों को अनुकरण करने के लिए व्यावहारिक उदाहरणों के लिए, Altered Security's detailed guide पर जाएं।

इवेंट विवरण, जिसमें स्थिति और उप-स्थिति कोड शामिल हैं, इवेंट के कारणों के बारे में और अधिक जानकारी प्रदान करते हैं, विशेष रूप से Event ID 4625 में उल्लेखनीय।

Recovering Windows Events

हटाए गए Windows इवेंट्स को पुनर्प्राप्त करने की संभावनाओं को बढ़ाने के लिए, संदिग्ध कंप्यूटर को सीधे अनप्लग करके बंद करना उचित है। Bulk_extractor, एक पुनर्प्राप्ति उपकरण जो .evtx एक्सटेंशन को निर्दिष्ट करता है, ऐसे इवेंट्स को पुनर्प्राप्त करने के प्रयास के लिए अनुशंसित है।

Identifying Common Attacks via Windows Events

सामान्य साइबर हमलों की पहचान में Windows इवेंट IDs का उपयोग करने के लिए एक व्यापक गाइड के लिए, Red Team Recipe पर जाएं।

Brute Force Attacks

कई EventID 4625 रिकॉर्ड द्वारा पहचाने जाने योग्य, यदि हमला सफल होता है तो इसके बाद एक EventID 4624 होता है।

Time Change

EventID 4616 द्वारा दर्ज, सिस्टम समय में परिवर्तन फोरेंसिक विश्लेषण को जटिल बना सकता है।

USB Device Tracking

USB डिवाइस ट्रैकिंग के लिए उपयोगी सिस्टम EventIDs में प्रारंभिक उपयोग के लिए 20001/20003/10000, ड्राइवर अपडेट के लिए 10100, और DeviceSetupManager से सम्मिलन समय के लिए EventID 112 शामिल हैं।

System Power Events

EventID 6005 सिस्टम स्टार्टअप को इंगित करता है, जबकि EventID 6006 शटडाउन को चिह्नित करता है।

Log Deletion

सुरक्षा EventID 1102 लॉग के हटाने का संकेत देता है, जो फोरेंसिक विश्लेषण के लिए एक महत्वपूर्ण घटना है।