Windows Artifacts

Tip

AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする

Generic Windows Artifacts

Windows 10 Notifications

パス \Users\<username>\AppData\Local\Microsoft\Windows\Notifications には、データベース appdb.dat(Windows アニバーサリー前)または wpndatabase.db(Windows アニバーサリー後)があります。

この SQLite データベース内には、興味深いデータを含む可能性のあるすべての通知(XML 形式)の Notification テーブルがあります。

Timeline

Timeline は、訪問したウェブページ、編集した文書、実行したアプリケーションの 時系列履歴 を提供する Windows の特徴です。

データベースは、パス \Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db にあります。このデータベースは、SQLite ツールまたはツール WxTCmd を使用して開くことができ、2つのファイルを生成し、それらはツール TimeLine Explorer で開くことができます

ADS (Alternate Data Streams)

ダウンロードされたファイルには、ADS Zone.Identifier が含まれており、どのように intranet、internet などから ダウンロードされたか を示しています。一部のソフトウェア(ブラウザなど)は、ファイルがダウンロードされたURLなど、さらに多くの情報を提供することがよくあります。

File Backups

Recycle Bin

Vista/Win7/Win8/Win10 では、Recycle Bin はドライブのルートにあるフォルダー $Recycle.bin にあります(C:\$Recycle.bin)。
このフォルダー内でファイルが削除されると、2つの特定のファイルが作成されます:

  • $I{id}: ファイル情報(削除された日時)
  • $R{id}: ファイルの内容

これらのファイルがあれば、ツール Rifiuti を使用して削除されたファイルの元のアドレスと削除日時を取得できます(Vista – Win10 には rifiuti-vista.exe を使用)。

.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle

ボリュームシャドウコピー

シャドウコピーは、Microsoft Windowsに含まれる技術で、コンピュータファイルやボリュームのバックアップコピーやスナップショットを作成できます。これらは使用中であっても作成可能です。

これらのバックアップは通常、ファイルシステムのルートから \System Volume Informationにあり、名前は以下の画像に示されているUIDで構成されています。

ArsenalImageMounterを使用してフォレンジックイメージをマウントすると、ツールShadowCopyViewを使用してシャドウコピーを検査し、シャドウコピーのバックアップからファイルを抽出することができます。

レジストリエントリHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestoreには、バックアップしないファイルとキーが含まれています。

レジストリHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSSには、ボリュームシャドウコピーに関する構成情報も含まれています。

Office自動保存ファイル

Officeの自動保存ファイルは次の場所にあります: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\

シェルアイテム

シェルアイテムは、別のファイルにアクセスする方法に関する情報を含むアイテムです。

最近の文書 (LNK)

Windowsは、ユーザーが次の場所でファイルを開く、使用する、または作成するときに、これらのショートカット自動的に****作成します:

  • Win7-Win10: C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\
  • Office: C:\Users\\AppData\Roaming\Microsoft\Office\Recent\

フォルダーが作成されると、フォルダーへのリンク、親フォルダーへのリンク、および祖父フォルダーへのリンクも作成されます。

これらの自動的に作成されたリンクファイルは、ファイルフォルダーか、MAC タイムボリューム情報、およびターゲットファイルのフォルダーに関する情報を含んでいます。この情報は、ファイルが削除された場合にそれらを回復するのに役立ちます。

また、リンクファイルの作成日は、元のファイルが最初に使用された時間であり、リンクファイルの最終更新日は、元のファイルが使用された最後の時間です。

これらのファイルを検査するには、LinkParserを使用できます。

このツールでは、2セットのタイムスタンプが見つかります:

  • 最初のセット:
  1. FileModifiedDate
  2. FileAccessDate
  3. FileCreationDate
  • 2番目のセット:
  1. LinkModifiedDate
  2. LinkAccessDate
  3. LinkCreationDate

最初のセットのタイムスタンプはファイル自体のタイムスタンプを参照します。2番目のセットはリンクされたファイルのタイムスタンプを参照します。

同じ情報は、Windows CLIツールLECmd.exeを実行することで取得できます。

LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs

この場合、情報はCSVファイルに保存されます。

ジャンプリスト

これはアプリケーションごとに示される最近のファイルです。各アプリケーションでアクセスできるアプリケーションによって使用された最近のファイルのリストです。これらは自動的に作成されるか、カスタムで作成されることがあります。

自動的に作成されたジャンプリストは、C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\に保存されます。ジャンプリストは、最初のIDがアプリケーションのIDである{id}.autmaticDestinations-msという形式で命名されます。

カスタムジャンプリストは、C:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\に保存され、通常はファイルに重要なことが起こったためにアプリケーションによって作成されます(お気に入りとしてマークされているかもしれません)。

任意のジャンプリストの作成時間は、ファイルが最初にアクセスされた時間を示し、修正時間は最後にアクセスされた時間を示します。

ジャンプリストはJumplistExplorerを使用して調査できます。

JumplistExplorerによって提供されるタイムスタンプは、ジャンプリストファイル自体に関連しています

シェルバッグ

このリンクをフォローしてシェルバッグについて学んでください。

Windows USBの使用

USBデバイスが使用されたことを特定することは、以下の作成によって可能です:

  • Windows Recent Folder
  • Microsoft Office Recent Folder
  • ジャンプリスト

一部のLNKファイルは、元のパスを指すのではなく、WPDNSEフォルダーを指しています:

WPDNSEフォルダー内のファイルは元のファイルのコピーであり、PCの再起動では生き残らず、GUIDはシェルバッグから取得されます。

レジストリ情報

このページをチェックして USB接続デバイスに関する興味深い情報を含むレジストリキーを学んでください。

setupapi

USB接続が行われた時刻に関するタイムスタンプを取得するには、C:\Windows\inf\setupapi.dev.logファイルを確認してください(Section startを検索)。

USB Detective

USBDetectiveは、画像に接続されたUSBデバイスに関する情報を取得するために使用できます。

プラグアンドプレイのクリーンアップ

「プラグアンドプレイのクリーンアップ」として知られるスケジュールされたタスクは、主に古いドライバーバージョンの削除を目的としています。最新のドライバーパッケージバージョンを保持するという指定された目的とは対照的に、オンラインソースは、過去30日間に非アクティブなドライバーも対象にしていることを示唆しています。したがって、過去30日間に接続されていないリムーバブルデバイスのドライバーは削除される可能性があります。

タスクは次のパスにあります:C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup

タスクの内容を示すスクリーンショットが提供されています:

タスクの主要コンポーネントと設定:

  • pnpclean.dll:このDLLは実際のクリーンアッププロセスを担当します。
  • UseUnifiedSchedulingEngineTRUEに設定されており、一般的なタスクスケジューリングエンジンの使用を示します。
  • MaintenanceSettings
  • Period (‘P1M’):タスクスケジューラに、定期的な自動メンテナンス中に毎月クリーンアップタスクを開始するよう指示します。
  • Deadline (‘P2M’):タスクスケジューラに、タスクが2か月連続で失敗した場合、緊急自動メンテナンス中にタスクを実行するよう指示します。

この構成により、ドライバーの定期的なメンテナンスとクリーンアップが確保され、連続的な失敗が発生した場合にタスクを再試行するための規定が設けられています。

詳細については、次を確認してください: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html

メール

メールには2つの興味深い部分があります:ヘッダーとメールの内容ヘッダーには次のような情報が含まれています:

  • 誰がメールを送信したか(メールアドレス、IP、メールサーバーがリダイレクトしたメール)
  • いつメールが送信されたか

また、ReferencesおよびIn-Reply-Toヘッダー内にはメッセージのIDが含まれています:

Windowsメールアプリ

このアプリケーションは、メールをHTMLまたはテキスト形式で保存します。メールは、\Users\<username>\AppData\Local\Comms\Unistore\data\3\内のサブフォルダーにあります。メールは.dat拡張子で保存されます。

メールのメタデータ連絡先は、EDBデータベース内にあります:\Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol

ファイルの拡張子を.volから.edbに変更すると、ツールESEDatabaseViewを使用して開くことができます。Messageテーブル内でメールを見ることができます。

Microsoft Outlook

ExchangeサーバーまたはOutlookクライアントが使用されると、いくつかのMAPIヘッダーが存在します:

  • Mapi-Client-Submit-Time:メールが送信されたときのシステムの時間
  • Mapi-Conversation-Index:スレッドの子メッセージの数と各メッセージのタイムスタンプ
  • Mapi-Entry-ID:メッセージ識別子。
  • Mappi-Message-FlagsおよびPr_last_Verb-Executed:MAPIクライアントに関する情報(メッセージは読まれたか?未読か?応答されたか?リダイレクトされたか?不在か?)

Microsoft Outlookクライアントでは、送信/受信されたすべてのメッセージ、連絡先データ、およびカレンダーデータは、次の場所にあるPSTファイルに保存されます:

  • %USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook(WinXP)
  • %USERPROFILE%\AppData\Local\Microsoft\Outlook

レジストリパスHKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlookは、使用されているファイルを示しています。

PSTファイルは、ツールKernel PST Viewerを使用して開くことができます。

Microsoft Outlook OSTファイル

OSTファイルは、Microsoft OutlookがIMAPまたはExchangeサーバーで構成されると生成され、PSTファイルと同様の情報を保存します。このファイルはサーバーと同期され、過去12か月間のデータを保持し、最大サイズは50GBで、PSTファイルと同じディレクトリにあります。OSTファイルを表示するには、Kernel OST viewerを利用できます。

添付ファイルの取得

失われた添付ファイルは、以下から回復可能です:

  • IE10の場合:%APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook
  • IE11以降の場合:%APPDATA%\Local\Microsoft\InetCache\Content.Outlook

Thunderbird MBOXファイル

ThunderbirdMBOXファイルを使用してデータを保存し、Users\%USERNAME%\AppData\Roaming\Thunderbird\Profilesにあります。

画像サムネイル

  • Windows XPおよび8-8.1:サムネイルを含むフォルダーにアクセスすると、削除後も画像プレビューを保存するthumbs.dbファイルが生成されます。
  • Windows 7/10:UNCパスを介してネットワーク上でアクセスされるとthumbs.dbが作成されます。
  • Windows Vista以降:サムネイルプレビューは%userprofile%\AppData\Local\Microsoft\Windows\Explorerに集中し、thumbcache_xxx.dbという名前のファイルが作成されます。ThumbsviewerおよびThumbCache Viewerは、これらのファイルを表示するためのツールです。

Windowsレジストリ情報

Windowsレジストリは、広範なシステムおよびユーザー活動データを保存し、次のファイルに含まれています:

  • %windir%\System32\Configは、さまざまなHKEY_LOCAL_MACHINEサブキー用です。
  • %UserProfile%{User}\NTUSER.DATは、HKEY_CURRENT_USER用です。
  • Windows Vista以降のバージョンは、%Windir%\System32\Config\RegBack\HKEY_LOCAL_MACHINEレジストリファイルのバックアップを保存します。
  • さらに、プログラム実行情報は、Windows VistaおよびWindows 2008 Server以降の%UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DATに保存されます。

ツール

レジストリファイルを分析するために役立つツールがいくつかあります:

  • レジストリエディタ:Windowsにインストールされています。現在のセッションのWindowsレジストリをナビゲートするためのGUIです。
  • Registry Explorer:レジストリファイルをロードし、GUIでナビゲートすることを可能にします。また、興味深い情報を持つキーをハイライトするブックマークも含まれています。
  • RegRipper:再び、ロードされたレジストリをナビゲートするためのGUIを持ち、ロードされたレジストリ内の興味深い情報をハイライトするプラグインも含まれています。
  • Windows Registry Recovery:レジストリから重要な情報を抽出することができる別のGUIアプリケーションです。

削除された要素の回復

キーが削除されると、そのようにマークされますが、占有しているスペースが必要になるまで削除されません。したがって、Registry Explorerのようなツールを使用すると、これらの削除されたキーを回復することが可能です。

最終書き込み時間

各キー-値には、最後に修正された時間を示すタイムスタンプが含まれています。

SAM

ファイル/ハイブSAMには、システムのユーザー、グループ、およびユーザーパスワードのハッシュが含まれています。

SAM\Domains\Account\Usersで、ユーザー名、RID、最終ログイン、最終失敗ログオン、ログインカウンター、パスワードポリシー、およびアカウントが作成された時期を取得できます。ハッシュを取得するには、ファイル/ハイブSYSTEM必要です。

Windowsレジストリの興味深いエントリ

Interesting Windows Registry Keys

実行されたプログラム

基本的なWindowsプロセス

この投稿では、疑わしい動作を検出するための一般的なWindowsプロセスについて学ぶことができます。

Windows Recent APPs

レジストリNTUSER.DAT内のパスSoftware\Microsoft\Current Version\Search\RecentAppsには、実行されたアプリケーション最後に実行された時間、および起動された回数に関する情報を含むサブキーがあります。

BAM(バックグラウンドアクティビティモデレーター)

レジストリエディタでSYSTEMファイルを開き、パスSYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}内で、各ユーザーによって実行されたアプリケーションに関する情報(パス内の{SID}に注意)と実行された時間を見つけることができます(時間はレジストリのデータ値内にあります)。

Windowsプリフェッチ

プリフェッチは、コンピュータがユーザーが近い将来にアクセスする可能性のあるコンテンツを表示するために必要なリソースを静かに取得することを可能にする技術です。これにより、リソースに迅速にアクセスできます。

Windowsプリフェッチは、実行されたプログラムのキャッシュを作成して、より速くロードできるようにします。これらのキャッシュは、次のパス内に.pfファイルとして作成されます:C:\Windows\Prefetch。XP/VISTA/WIN7では128ファイル、Win8/Win10では1024ファイルの制限があります。

ファイル名は{program_name}-{hash}.pfとして作成されます(ハッシュは実行可能ファイルのパスと引数に基づいています)。W10では、これらのファイルは圧縮されています。ファイルの存在は、プログラムが実行されたことを示しています。

ファイルC:\Windows\Prefetch\Layout.iniには、プリフェッチされたファイルのフォルダーの名前が含まれています。このファイルには、実行回数実行日、およびプログラムによって開かれた**ファイルに関する情報が含まれています。

これらのファイルを調査するには、ツールPEcmd.exeを使用できます。

.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"

Superprefetch

Superprefetchは、次に読み込まれるものを予測することによってプログラムをより速く読み込むという同じ目的を持っています。しかし、これはprefetchサービスの代わりにはなりません。
このサービスは、C:\Windows\Prefetch\Ag*.dbにデータベースファイルを生成します。

これらのデータベースには、プログラム名前実行回数開かれたファイルアクセスされたボリューム完全なパス時間枠、およびタイムスタンプが含まれています。

この情報には、ツールCrowdResponseを使用してアクセスできます。

SRUM

System Resource Usage Monitor (SRUM)は、プロセスによって消費されるリソース監視します。これはW8で登場し、C:\Windows\System32\sru\SRUDB.datにESEデータベースとしてデータを保存します。

以下の情報を提供します:

  • AppIDとパス
  • プロセスを実行したユーザー
  • 送信バイト
  • 受信バイト
  • ネットワークインターフェース
  • 接続の持続時間
  • プロセスの持続時間

この情報は60分ごとに更新されます。

このファイルから日付を取得するには、ツールsrum_dumpを使用できます。

.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum

AppCompatCache (ShimCache)

AppCompatCache、別名 ShimCache は、Microsoft によって開発された Application Compatibility Database の一部であり、アプリケーションの互換性の問題に対処するためのものです。このシステムコンポーネントは、以下のファイルメタデータのさまざまな情報を記録します。

  • ファイルのフルパス
  • ファイルのサイズ
  • $Standard_Information (SI) の最終更新時刻
  • ShimCache の最終更新時刻
  • プロセス実行フラグ

このデータは、オペレーティングシステムのバージョンに基づいて特定の場所にレジストリ内に保存されます。

  • XP の場合、データは SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCache に保存され、96 エントリの容量があります。
  • Server 2003 および Windows バージョン 2008、2012、2016、7、8、10 の場合、ストレージパスは SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCache であり、それぞれ 512 および 1024 エントリを収容します。

保存された情報を解析するには、AppCompatCacheParser tool の使用が推奨されます。

Amcache

Amcache.hve ファイルは、システム上で実行されたアプリケーションの詳細を記録するレジストリハイブです。通常、C:\Windows\AppCompat\Programas\Amcache.hve にあります。

このファイルは、最近実行されたプロセスの記録を保存しており、実行可能ファイルへのパスやその SHA1 ハッシュを含んでいます。この情報は、システム上のアプリケーションの活動を追跡するために非常に貴重です。

Amcache.hve からデータを抽出して分析するには、AmcacheParser ツールを使用できます。以下のコマンドは、AmcacheParser を使用して Amcache.hve ファイルの内容を解析し、結果を CSV 形式で出力する方法の例です。

AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder

生成されたCSVファイルの中で、Amcache_Unassociated file entriesは、未関連ファイルエントリに関する豊富な情報を提供するため、特に注目に値します。

最も興味深いCVSファイルは、Amcache_Unassociated file entriesです。

RecentFileCache

このアーティファクトはW7のC:\Windows\AppCompat\Programs\RecentFileCache.bcfにのみ存在し、いくつかのバイナリの最近の実行に関する情報を含んでいます。

ファイルを解析するには、ツールRecentFileCacheParseを使用できます。

スケジュールされたタスク

これらはC:\Windows\TasksまたはC:\Windows\System32\Tasksから抽出でき、XMLとして読み取ることができます。

サービス

これらはレジストリのSYSTEM\ControlSet001\Servicesに見つけることができます。何が実行されるか、いつ実行されるかを見ることができます。

Windows Store

インストールされたアプリケーションは\ProgramData\Microsoft\Windows\AppRepository\にあります。このリポジトリには、データベース**StateRepository-Machine.srd内にシステムにインストールされた各アプリケーションログ**があります。

このデータベースのアプリケーションテーブル内には、「Application ID」、「PackageNumber」、「Display Name」という列があり、これらの列にはプレインストールされたアプリケーションとインストールされたアプリケーションに関する情報が含まれており、インストールされたアプリケーションのIDは連続しているため、いくつかのアプリケーションがアンインストールされたかどうかを確認できます。

インストールされたアプリケーションは、レジストリパスSoftware\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\内でも見つけることができます。また、アンインストールされたアプリケーションはSoftware\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\にあります。

Windowsイベント

Windowsイベントに表示される情報は次のとおりです:

  • 何が起こったか
  • タイムスタンプ(UTC + 0)
  • 関与したユーザー
  • 関与したホスト(ホスト名、IP)
  • アクセスされた資産(ファイル、フォルダー、プリンター、サービス)

ログは、Windows Vista以前はC:\Windows\System32\configにあり、Windows Vista以降はC:\Windows\System32\winevt\Logsにあります。Windows Vista以前はイベントログはバイナリ形式であり、以降はXML形式で、.evtx拡張子を使用しています。

イベントファイルの場所は、SYSTEMレジストリの**HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}**で見つけることができます。

これらはWindowsイベントビューア(eventvwr.msc)またはEvent Log Explorer Evtx Explorer/EvtxECmdを使用して視覚化できます。

Windowsセキュリティイベントログの理解

アクセスイベントは、C:\Windows\System32\winevt\Security.evtxにあるセキュリティ構成ファイルに記録されます。このファイルのサイズは調整可能で、容量に達すると古いイベントが上書きされます。記録されたイベントには、ユーザーログインとログオフ、ユーザーアクション、セキュリティ設定の変更、ファイル、フォルダー、および共有資産へのアクセスが含まれます。

ユーザー認証のための主要なイベントID:

  • EventID 4624: ユーザーが正常に認証されたことを示します。
  • EventID 4625: 認証の失敗を示します。
  • EventIDs 4634/4647: ユーザーログオフイベントを表します。
  • EventID 4672: 管理者権限でのログインを示します。

EventID 4634/4647内のサブタイプ:

  • インタラクティブ (2): 直接ユーザーログイン。
  • ネットワーク (3): 共有フォルダーへのアクセス。
  • バッチ (4): バッチプロセスの実行。
  • サービス (5): サービスの起動。
  • プロキシ (6): プロキシ認証。
  • アンロック (7): パスワードで画面が解除されました。
  • ネットワーククリアテキスト (8): IISからのクリアテキストパスワードの送信。
  • 新しい資格情報 (9): アクセスのために異なる資格情報を使用。
  • リモートインタラクティブ (10): リモートデスクトップまたはターミナルサービスのログイン。
  • キャッシュインタラクティブ (11): ドメインコントローラーに連絡せずにキャッシュされた資格情報でログイン。
  • キャッシュリモートインタラクティブ (12): キャッシュされた資格情報でのリモートログイン。
  • キャッシュアンロック (13): キャッシュされた資格情報での解除。

EventID 4625のステータスおよびサブステータスコード:

  • 0xC0000064: ユーザー名が存在しない - ユーザー名列挙攻撃を示す可能性があります。
  • 0xC000006A: 正しいユーザー名だがパスワードが間違っている - パスワード推測またはブルートフォース攻撃の可能性。
  • 0xC0000234: ユーザーアカウントがロックアウトされている - 複数の失敗したログインに続くブルートフォース攻撃の可能性。
  • 0xC0000072: アカウントが無効 - 無効なアカウントへの不正アクセスの試み。
  • 0xC000006F: 許可された時間外のログオン - 設定されたログイン時間外のアクセスの試みを示し、不正アクセスの可能性があります。
  • 0xC0000070: ワークステーション制限の違反 - 不正な場所からのログインの試みの可能性。
  • 0xC0000193: アカウントの有効期限切れ - 有効期限切れのユーザーアカウントへのアクセスの試み。
  • 0xC0000071: パスワードの有効期限切れ - 古いパスワードでのログインの試み。
  • 0xC0000133: 時間同期の問題 - クライアントとサーバー間の大きな時間の不一致は、パス・ザ・チケットのようなより高度な攻撃を示す可能性があります。
  • 0xC0000224: 強制的なパスワード変更が必要 - 頻繁な強制変更は、アカウントセキュリティを不安定にしようとする試みを示唆するかもしれません。
  • 0xC0000225: セキュリティの問題ではなく、システムバグを示します。
  • 0xC000015b: 拒否されたログオンタイプ - サービスログオンを実行しようとするユーザーなど、不正なログオンタイプでのアクセス試行。

EventID 4616:

  • 時間変更: システム時間の変更、イベントのタイムラインを隠す可能性があります。

EventID 6005および6006:

  • システムの起動とシャットダウン: EventID 6005はシステムの起動を示し、EventID 6006はシャットダウンを示します。

EventID 1102:

  • ログ削除: セキュリティログがクリアされることは、違法行為を隠蔽するための赤信号です。

USBデバイストラッキングのためのイベントID:

  • 20001 / 20003 / 10000: USBデバイスの最初の接続。
  • 10100: USBドライバーの更新。
  • EventID 112: USBデバイス挿入の時間。

これらのログインタイプや資格情報ダンプの機会をシミュレートする実用的な例については、Altered Securityの詳細ガイドを参照してください。

イベントの詳細、ステータスおよびサブステータスコードは、特にEvent ID 4625でのイベントの原因に関するさらなる洞察を提供します。

Windowsイベントの回復

削除されたWindowsイベントを回復する可能性を高めるために、疑わしいコンピュータの電源を直接抜いてシャットダウンすることをお勧めします。Bulk_extractorは、.evtx拡張子を指定する回復ツールであり、そのようなイベントを回復しようとする際に推奨されます。

Windowsイベントを通じて一般的な攻撃を特定する

一般的なサイバー攻撃を特定するためにWindowsイベントIDを利用する包括的なガイドについては、Red Team Recipeを訪れてください。

ブルートフォース攻撃

複数のEventID 4625レコードによって識別され、攻撃が成功した場合はEventID 4624が続きます。

時間変更

EventID 4616によって記録され、システム時間の変更はフォレンジック分析を複雑にする可能性があります。

USBデバイストラッキング

USBデバイストラッキングに役立つシステムイベントIDには、初回使用のための20001/20003/10000、ドライバー更新のための10100、挿入タイムスタンプのためのEventID 112が含まれます。

システム電源イベント

EventID 6005はシステムの起動を示し、EventID 6006はシャットダウンを示します。

ログ削除

セキュリティEventID 1102はログの削除を示し、フォレンジック分析にとって重要なイベントです。

Tip

AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE) Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)

HackTricksをサポートする