HackTricksWindows アーティファクト
Reading time: 33 minutes
Windows アーティファクト
tip
AWSハッキングを学び、実践する:
HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:
HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:
HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。
一般的な Windows アーティファクト
Windows 10 通知
パス \Users\<username>\AppData\Local\Microsoft\Windows\Notifications には、データベース appdb.dat(Windows アニバーサリー前)または wpndatabase.db(Windows アニバーサリー後)があります。
この SQLite データベース内には、興味深いデータを含む可能性のあるすべての通知(XML 形式)の Notification テーブルがあります。
タイムライン
タイムラインは、訪問したウェブページ、編集した文書、実行したアプリケーションの 時系列履歴 を提供する Windows の特徴です。
データベースは、パス \Users\<username>\AppData\Local\ConnectedDevicesPlatform\<id>\ActivitiesCache.db にあります。このデータベースは SQLite ツールまたはツール WxTCmd を使用して開くことができ、2 つのファイルが生成され、ツール TimeLine Explorer で開くことができます。
ADS (代替データストリーム)
ダウンロードされたファイルには、ADS Zone.Identifier が含まれており、どのように インターネット、イントラネットなどから ダウンロードされたか を示しています。一部のソフトウェア(ブラウザなど)は、ファイルがダウンロードされたURLなど、さらに多くの 情報を提供することがよくあります。
ファイルバックアップ
ごみ箱
Vista/Win7/Win8/Win10 では、ごみ箱はドライブのルートにあるフォルダー $Recycle.bin にあります(C:\$Recycle.bin)。
このフォルダー内でファイルが削除されると、2 つの特定のファイルが作成されます:
$I{id}: ファイル情報(削除された日時)$R{id}: ファイルの内容
.png)
これらのファイルがあれば、ツール Rifiuti を使用して削除されたファイルの元のアドレスと削除された日時を取得できます(Vista – Win10 には rifiuti-vista.exe を使用)。
.\rifiuti-vista.exe C:\Users\student\Desktop\Recycle
%20(1)%20(1)%20(1).png)
ボリュームシャドウコピー
シャドウコピーは、使用中のコンピュータファイルやボリュームのバックアップコピーやスナップショットを作成できるMicrosoft Windowsに含まれる技術です。
これらのバックアップは通常、ファイルシステムのルートから\System Volume Informationにあり、名前は以下の画像に示されているUIDで構成されています。
.png)
ArsenalImageMounterを使用してフォレンジックイメージをマウントすると、ツールShadowCopyViewを使用してシャドウコピーを検査し、シャドウコピーのバックアップからファイルを抽出することもできます。
.png)
レジストリエントリHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\BackupRestoreには、バックアップしないファイルとキーが含まれています。
.png)
レジストリHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\VSSにも、ボリュームシャドウコピーに関する構成情報が含まれています。
Office自動保存ファイル
Officeの自動保存ファイルは次の場所にあります: C:\Usuarios\\AppData\Roaming\Microsoft{Excel|Word|Powerpoint}\
シェルアイテム
シェルアイテムは、別のファイルにアクセスする方法に関する情報を含むアイテムです。
最近の文書 (LNK)
Windowsは、ユーザーが次の場所でファイルを開いたり、使用したり、作成したりすると、これらのショートカットを自動的に****作成します:
- Win7-Win10:
C:\Users\\AppData\Roaming\Microsoft\Windows\Recent\ - Office:
C:\Users\\AppData\Roaming\Microsoft\Office\Recent\
フォルダーが作成されると、フォルダーへのリンク、親フォルダーへのリンク、および祖父フォルダーへのリンクも作成されます。
これらの自動的に作成されたリンクファイルは、ファイルかフォルダーか、MAC タイム、ファイルが保存されているボリューム情報、およびターゲットファイルのフォルダーなど、起源に関する情報を含んでいます。この情報は、ファイルが削除された場合にそれらを回復するのに役立ちます。
また、リンクファイルの作成日は、元のファイルが最初に使用された時間であり、リンクファイルの最終更新日は、元のファイルが使用された最後の時間です。
これらのファイルを検査するには、LinkParserを使用できます。
このツールでは、2セットのタイムスタンプが見つかります:
- 最初のセット:
- FileModifiedDate
- FileAccessDate
- FileCreationDate
- 2番目のセット:
- LinkModifiedDate
- LinkAccessDate
- LinkCreationDate.
最初のセットのタイムスタンプはファイル自体のタイムスタンプを参照します。2番目のセットはリンクされたファイルのタイムスタンプを参照します。
同じ情報は、Windows CLIツールLECmd.exeを実行することで取得できます。
LECmd.exe -d C:\Users\student\Desktop\LNKs --csv C:\Users\student\Desktop\LNKs
この場合、情報はCSVファイルに保存されます。
ジャンプリスト
これらはアプリケーションごとに示される最近のファイルです。各アプリケーションでアクセスできるアプリケーションによって使用された最近のファイルのリストです。これらは自動的に作成されるか、カスタムで作成されることがあります。
自動的に作成されたジャンプリストはC:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\に保存されます。ジャンプリストは{id}.autmaticDestinations-msという形式で名付けられ、最初のIDはアプリケーションのIDです。
カスタムジャンプリストはC:\Users\{username}\AppData\Roaming\Microsoft\Windows\Recent\CustomDestination\に保存され、通常はファイルに重要なことが起こったためにアプリケーションによって作成されます(お気に入りとしてマークされたかもしれません)。
任意のジャンプリストの作成時間はファイルが最初にアクセスされた時間を示し、修正時間は最後にアクセスされた時間を示します。
ジャンプリストはJumplistExplorerを使用して検査できます。
.png)
(JumplistExplorerによって提供されるタイムスタンプは、ジャンプリストファイル自体に関連しています)
シェルバッグ
このリンクをフォローしてシェルバッグについて学んでください。
Windows USBの使用
USBデバイスが使用されたことを特定することは、以下の作成によって可能です:
- Windows Recent Folder
- Microsoft Office Recent Folder
- ジャンプリスト
一部のLNKファイルは、元のパスを指すのではなく、WPDNSEフォルダーを指しています:
.png)
WPDNSEフォルダー内のファイルは元のファイルのコピーであり、PCの再起動では生き残らず、GUIDはシェルバッグから取得されます。
レジストリ情報
このページをチェックして USB接続デバイスに関する興味深い情報を含むレジストリキーを学んでください。
setupapi
USB接続が行われた時刻に関するタイムスタンプを取得するには、ファイルC:\Windows\inf\setupapi.dev.logを確認してください(Section startを検索)。
%20(2)%20(2)%20(2)%20(2)%20(2)%20(2)%20(2)%20(3)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(1)%20(10)%20(14)%20(2).png)
USB Detective
USBDetectiveを使用して、画像に接続されたUSBデバイスに関する情報を取得できます。
.png)
プラグアンドプレイのクリーンアップ
「プラグアンドプレイのクリーンアップ」として知られるスケジュールされたタスクは、主に古いドライバーバージョンの削除を目的としています。最新のドライバーパッケージバージョンを保持するという指定された目的とは対照的に、オンラインソースは、30日間非アクティブなドライバーも対象にしていることを示唆しています。したがって、過去30日間接続されていないリムーバブルデバイスのドライバーは削除される可能性があります。
タスクは次のパスにあります:C:\Windows\System32\Tasks\Microsoft\Windows\Plug and Play\Plug and Play Cleanup。
タスクの内容を示すスクリーンショットが提供されています: 
タスクの主要コンポーネントと設定:
- pnpclean.dll:このDLLは実際のクリーンアッププロセスを担当します。
- UseUnifiedSchedulingEngine:
TRUEに設定されており、一般的なタスクスケジューリングエンジンの使用を示します。 - MaintenanceSettings:
- Period ('P1M'):タスクスケジューラに、定期的な自動メンテナンス中に毎月クリーンアップタスクを開始するよう指示します。
- Deadline ('P2M'):タスクスケジューラに、タスクが2か月連続して失敗した場合、緊急自動メンテナンス中にタスクを実行するよう指示します。
この構成により、ドライバーの定期的なメンテナンスとクリーンアップが確保され、連続して失敗した場合のタスクの再試行のための規定が設けられています。
詳細については次を確認してください: https://blog.1234n6.com/2018/07/windows-plug-and-play-cleanup.html
メール
メールには2つの興味深い部分があります:ヘッダーとメールの内容。ヘッダーには次のような情報が含まれています:
- 誰がメールを送信したか(メールアドレス、IP、メールサーバーがリダイレクトしたメール)
- いつメールが送信されたか
また、ReferencesおよびIn-Reply-Toヘッダー内にはメッセージのIDが含まれています:
.png)
Windowsメールアプリ
このアプリケーションは、メールをHTMLまたはテキストで保存します。メールはUsers\<username>\AppData\Local\Comms\Unistore\data\3\内のサブフォルダーにあります。メールは.dat拡張子で保存されます。
メールのメタデータと連絡先は、EDBデータベース内にあります:\Users\<username>\AppData\Local\Comms\UnistoreDB\store.vol
ファイルの拡張子を.volから.edbに変更すると、ツールESEDatabaseViewを使用して開くことができます。Messageテーブル内でメールを見ることができます。
Microsoft Outlook
ExchangeサーバーまたはOutlookクライアントが使用されると、いくつかのMAPIヘッダーが存在します:
Mapi-Client-Submit-Time:メールが送信されたときのシステムの時間Mapi-Conversation-Index:スレッドの子メッセージの数と各メッセージのタイムスタンプMapi-Entry-ID:メッセージ識別子。Mappi-Message-FlagsおよびPr_last_Verb-Executed:MAPIクライアントに関する情報(メッセージは読まれたか?未読か?応答されたか?リダイレクトされたか?不在か?)
Microsoft Outlookクライアントでは、送信/受信されたすべてのメッセージ、連絡先データ、およびカレンダーデータは、次の場所にあるPSTファイルに保存されます:
%USERPROFILE%\Local Settings\Application Data\Microsoft\Outlook(WinXP)%USERPROFILE%\AppData\Local\Microsoft\Outlook
レジストリパスHKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows Messaging Subsystem\Profiles\Outlookは、使用されているファイルを示します。
PSTファイルは、ツールKernel PST Viewerを使用して開くことができます。
.png)
Microsoft Outlook OSTファイル
OSTファイルは、Microsoft OutlookがIMAPまたはExchangeサーバーで構成されているときに生成され、PSTファイルと同様の情報を保存します。このファイルはサーバーと同期され、過去12か月間のデータを保持し、最大サイズは50GBで、PSTファイルと同じディレクトリにあります。OSTファイルを表示するには、Kernel OST viewerを利用できます。
添付ファイルの取得
失われた添付ファイルは、以下から回復可能かもしれません:
- IE10の場合:
%APPDATA%\Local\Microsoft\Windows\Temporary Internet Files\Content.Outlook - IE11以降の場合:
%APPDATA%\Local\Microsoft\InetCache\Content.Outlook
Thunderbird MBOXファイル
ThunderbirdはMBOXファイルを使用してデータを保存し、Users\%USERNAME%\AppData\Roaming\Thunderbird\Profilesにあります。
画像サムネイル
- Windows XPおよび8-8.1:サムネイルを含むフォルダーにアクセスすると、削除後も画像プレビューを保存する
thumbs.dbファイルが生成されます。 - Windows 7/10:UNCパスを介してネットワーク上でアクセスすると
thumbs.dbが作成されます。 - Windows Vista以降:サムネイルプレビューは
%userprofile%\AppData\Local\Microsoft\Windows\Explorerに集中管理され、thumbcache_xxx.dbという名前のファイルが作成されます。ThumbsviewerおよびThumbCache Viewerは、これらのファイルを表示するためのツールです。
Windowsレジストリ情報
Windowsレジストリは、広範なシステムおよびユーザー活動データを保存し、次のファイルに含まれています:
%windir%\System32\Configは、さまざまなHKEY_LOCAL_MACHINEサブキー用です。%UserProfile%{User}\NTUSER.DATは、HKEY_CURRENT_USER用です。- Windows Vista以降のバージョンでは、
HKEY_LOCAL_MACHINEレジストリファイルが%Windir%\System32\Config\RegBack\にバックアップされます。 - さらに、プログラム実行情報は、Windows VistaおよびWindows 2008 Server以降の
%UserProfile%\{User}\AppData\Local\Microsoft\Windows\USERCLASS.DATに保存されます。
ツール
レジストリファイルを分析するために役立つツールがいくつかあります:
- レジストリエディタ:Windowsにインストールされています。現在のセッションのWindowsレジストリをナビゲートするためのGUIです。
- Registry Explorer:レジストリファイルをロードし、GUIでナビゲートすることができます。また、興味深い情報を持つキーをハイライトするブックマークも含まれています。
- RegRipper:再び、ロードされたレジストリをナビゲートできるGUIを持ち、ロードされたレジストリ内の興味深い情報をハイライトするプラグインも含まれています。
- Windows Registry Recovery:レジストリから重要な情報を抽出できる別のGUIアプリケーションです。
削除された要素の回復
キーが削除されると、そのようにマークされますが、占有しているスペースが必要になるまで削除されません。したがって、Registry Explorerのようなツールを使用すると、これらの削除されたキーを回復することが可能です。
最終書き込み時間
各キー-値には、最後に修正された時間を示すタイムスタンプが含まれています。
SAM
ファイル/ハイブSAMには、システムのユーザー、グループ、およびユーザーパスワードのハッシュが含まれています。
SAM\Domains\Account\Usersで、ユーザー名、RID、最終ログイン、最終失敗ログオン、ログインカウンター、パスワードポリシー、およびアカウントが作成された時期を取得できます。ハッシュを取得するには、ファイル/ハイブSYSTEMも必要です。
Windowsレジストリの興味深いエントリ
Interesting Windows Registry Keys
実行されたプログラム
基本的なWindowsプロセス
この投稿では、疑わしい動作を検出するための一般的なWindowsプロセスについて学ぶことができます。
Windows Recent APPs
レジストリNTUSER.DAT内のパスSoftware\Microsoft\Current Version\Search\RecentAppsには、実行されたアプリケーション、最後に実行された時間、および起動された回数に関する情報を含むサブキーがあります。
BAM(バックグラウンドアクティビティモデレーター)
レジストリエディタでSYSTEMファイルを開き、パスSYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}内で、各ユーザーによって実行されたアプリケーションに関する情報(パス内の{SID}に注意)と実行された時間を見つけることができます(時間はレジストリのデータ値内にあります)。
Windowsプリフェッチ
プリフェッチは、コンピュータがユーザーが近い将来にアクセスする可能性のあるコンテンツを表示するために必要なリソースを静かに取得することを可能にする技術です。これにより、リソースに迅速にアクセスできるようになります。
Windowsプリフェッチは、実行されたプログラムのキャッシュを作成して、より迅速にロードできるようにします。これらのキャッシュは、パスC:\Windows\Prefetch内に.pfファイルとして作成されます。XP/VISTA/WIN7では128ファイル、Win8/Win10では1024ファイルの制限があります。
ファイル名は{program_name}-{hash}.pfとして作成されます(ハッシュは実行可能ファイルのパスと引数に基づいています)。W10では、これらのファイルは圧縮されています。ファイルの存在は、プログラムが実行されたことを示しています。
ファイルC:\Windows\Prefetch\Layout.iniには、プリフェッチされたファイルのフォルダーの名前が含まれています。このファイルには、実行回数、実行日、およびプログラムによって開かれた**ファイルに関する情報が含まれています。
これらのファイルを検査するには、ツールPEcmd.exeを使用できます。
.\PECmd.exe -d C:\Users\student\Desktop\Prefetch --html "C:\Users\student\Desktop\out_folder"
.png)
Superprefetch
Superprefetchは、次に読み込まれるものを予測することによってプログラムをより速く読み込むという同じ目的を持っています。しかし、これはprefetchサービスの代わりにはなりません。
このサービスは、C:\Windows\Prefetch\Ag*.dbにデータベースファイルを生成します。
これらのデータベースには、プログラムの名前、実行回数、開かれたファイル、アクセスされたボリューム、完全なパス、時間枠、およびタイムスタンプが含まれています。
この情報には、ツールCrowdResponseを使用してアクセスできます。
SRUM
System Resource Usage Monitor (SRUM)は、プロセスによって消費されるリソースを監視します。これはW8で登場し、C:\Windows\System32\sru\SRUDB.datにESEデータベースとしてデータを保存します。
以下の情報を提供します:
- AppIDとパス
- プロセスを実行したユーザー
- 送信バイト
- 受信バイト
- ネットワークインターフェース
- 接続の持続時間
- プロセスの持続時間
この情報は60分ごとに更新されます。
このファイルから日付を取得するには、ツールsrum_dumpを使用できます。
.\srum_dump.exe -i C:\Users\student\Desktop\SRUDB.dat -t SRUM_TEMPLATE.xlsx -o C:\Users\student\Desktop\srum
AppCompatCache (ShimCache)
AppCompatCache、別名 ShimCache は、Microsoft によって開発された Application Compatibility Database の一部であり、アプリケーションの互換性の問題に対処します。このシステムコンポーネントは、さまざまなファイルメタデータを記録します。これには以下が含まれます:
- ファイルのフルパス
- ファイルのサイズ
- $Standard_Information (SI) の最終変更時間
- ShimCache の最終更新時間
- プロセス実行フラグ
このデータは、オペレーティングシステムのバージョンに基づいて特定の場所にレジストリ内に保存されます:
- XPの場合、データは
SYSTEM\CurrentControlSet\Control\SessionManager\Appcompatibility\AppcompatCacheに保存され、96エントリの容量があります。 - Server 2003 および Windows バージョン 2008、2012、2016、7、8、10 の場合、ストレージパスは
SYSTEM\CurrentControlSet\Control\SessionManager\AppcompatCache\AppCompatCacheであり、それぞれ512および1024エントリを収容します。
保存された情報を解析するには、AppCompatCacheParser tool の使用が推奨されます。
.png)
Amcache
Amcache.hve ファイルは、システム上で実行されたアプリケーションの詳細を記録するレジストリハイブです。通常、C:\Windows\AppCompat\Programas\Amcache.hve にあります。
このファイルは、最近実行されたプロセスの記録を保存することで注目されており、実行可能ファイルへのパスやその SHA1 ハッシュが含まれています。この情報は、システム上のアプリケーションの活動を追跡するために非常に貴重です。
Amcache.hve からデータを抽出して分析するには、AmcacheParser ツールを使用できます。以下のコマンドは、AmcacheParser を使用して Amcache.hve ファイルの内容を解析し、結果を CSV 形式で出力する方法の例です:
AmcacheParser.exe -f C:\Users\genericUser\Desktop\Amcache.hve --csv C:\Users\genericUser\Desktop\outputFolder
生成されたCSVファイルの中で、Amcache_Unassociated file entriesは、関連付けのないファイルエントリに関する豊富な情報を提供するため、特に注目に値します。
最も興味深いCVSファイルは、Amcache_Unassociated file entriesです。
RecentFileCache
このアーティファクトは、W7のC:\Windows\AppCompat\Programs\RecentFileCache.bcfにのみ存在し、いくつかのバイナリの最近の実行に関する情報を含んでいます。
ファイルを解析するには、ツールRecentFileCacheParseを使用できます。
スケジュールされたタスク
これらはC:\Windows\TasksまたはC:\Windows\System32\Tasksから抽出でき、XMLとして読み取ることができます。
サービス
これらはレジストリのSYSTEM\ControlSet001\Servicesにあります。何が実行されるか、いつ実行されるかを見ることができます。
Windows Store
インストールされたアプリケーションは、\ProgramData\Microsoft\Windows\AppRepository\にあります。このリポジトリには、データベース**StateRepository-Machine.srd内にシステム内の各アプリケーションの**ログがあります。
このデータベースのアプリケーションテーブル内には、「Application ID」、「PackageNumber」、「Display Name」という列があり、これらの列には、プレインストールされたアプリケーションとインストールされたアプリケーションに関する情報が含まれています。また、インストールされたアプリケーションのIDは連続している必要があるため、いくつかのアプリケーションがアンインストールされたかどうかを確認できます。
インストールされたアプリケーションは、レジストリパスSoftware\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Applications\内でも見つけることができます。また、アンインストールされたアプリケーションは、Software\Microsoft\Windows\CurrentVersion\Appx\AppxAllUserStore\Deleted\にあります。
Windowsイベント
Windowsイベントに表示される情報は次のとおりです:
- 何が起こったか
- タイムスタンプ(UTC + 0)
- 関与したユーザー
- 関与したホスト(ホスト名、IP)
- アクセスされた資産(ファイル、フォルダー、プリンター、サービス)
ログは、Windows Vista以前はC:\Windows\System32\configにあり、Windows Vista以降はC:\Windows\System32\winevt\Logsにあります。Windows Vista以前は、イベントログはバイナリ形式であり、以降はXML形式で、.evtx拡張子を使用しています。
イベントファイルの場所は、SYSTEMレジストリの**HKLM\SYSTEM\CurrentControlSet\services\EventLog\{Application|System|Security}**で見つけることができます。
これらはWindowsイベントビューア(eventvwr.msc)またはEvent Log Explorer または Evtx Explorer/EvtxECmd**を使用して視覚化できます。
Windowsセキュリティイベントログの理解
アクセスイベントは、C:\Windows\System32\winevt\Security.evtxにあるセキュリティ構成ファイルに記録されます。このファイルのサイズは調整可能で、容量に達すると古いイベントが上書きされます。記録されたイベントには、ユーザーログインとログオフ、ユーザーアクション、セキュリティ設定の変更、ファイル、フォルダー、および共有資産へのアクセスが含まれます。
ユーザー認証のための主要なイベントID:
- EventID 4624:ユーザーが正常に認証されたことを示します。
- EventID 4625:認証の失敗を示します。
- EventIDs 4634/4647:ユーザーログオフイベントを表します。
- EventID 4672:管理者権限でのログインを示します。
EventID 4634/4647内のサブタイプ:
- インタラクティブ (2):直接ユーザーログイン。
- ネットワーク (3):共有フォルダーへのアクセス。
- バッチ (4):バッチプロセスの実行。
- サービス (5):サービスの起動。
- プロキシ (6):プロキシ認証。
- ロック解除 (7):パスワードで画面がロック解除されました。
- ネットワーククリアテキスト (8):クリアテキストパスワードの送信、通常はIISから。
- 新しい資格情報 (9):アクセスのために異なる資格情報を使用。
- リモートインタラクティブ (10):リモートデスクトップまたはターミナルサービスのログイン。
- キャッシュインタラクティブ (11):ドメインコントローラーに連絡せずにキャッシュされた資格情報でログイン。
- キャッシュリモートインタラクティブ (12):キャッシュされた資格情報でのリモートログイン。
- キャッシュロック解除 (13):キャッシュされた資格情報でのロック解除。
EventID 4625のステータスおよびサブステータスコード:
- 0xC0000064:ユーザー名が存在しない - ユーザー名列挙攻撃を示す可能性があります。
- 0xC000006A:正しいユーザー名だがパスワードが間違っている - パスワード推測またはブルートフォース攻撃の可能性。
- 0xC0000234:ユーザーアカウントがロックアウトされました - 複数の失敗したログインの結果としてブルートフォース攻撃が続く可能性があります。
- 0xC0000072:アカウントが無効 - 無効なアカウントへの不正アクセスの試み。
- 0xC000006F:許可された時間外のログオン - 設定されたログイン時間外のアクセスの試みを示し、不正アクセスの可能性があります。
- 0xC0000070:ワークステーション制限の違反 - 不正な場所からのログインの試みの可能性があります。
- 0xC0000193:アカウントの有効期限切れ - 有効期限切れのユーザーアカウントへのアクセスの試み。
- 0xC0000071:パスワードの有効期限切れ - 古いパスワードでのログインの試み。
- 0xC0000133:時間同期の問題 - クライアントとサーバー間の大きな時間の不一致は、パス・ザ・チケットのようなより高度な攻撃を示す可能性があります。
- 0xC0000224:必須のパスワード変更が必要 - 頻繁な必須変更は、アカウントセキュリティを不安定にしようとする試みを示唆するかもしれません。
- 0xC0000225:セキュリティの問題ではなく、システムバグを示します。
- 0xC000015b:拒否されたログオンタイプ - サービスログオンを実行しようとするユーザーなど、不正なログオンタイプでのアクセスの試み。
EventID 4616:
- 時間変更:システム時間の変更、イベントのタイムラインを隠す可能性があります。
EventID 6005および6006:
- システムの起動とシャットダウン:EventID 6005はシステムの起動を示し、EventID 6006はシャットダウンを示します。
EventID 1102:
- ログ削除:セキュリティログがクリアされることは、違法行為を隠蔽するための赤信号です。
USBデバイストラッキングのためのイベントID:
- 20001 / 20003 / 10000:USBデバイスの最初の接続。
- 10100:USBドライバーの更新。
- EventID 112:USBデバイス挿入の時間。
これらのログインタイプや資格情報ダンプの機会をシミュレートする実用的な例については、Altered Securityの詳細ガイドを参照してください。
イベントの詳細、ステータスおよびサブステータスコードは、特にEvent ID 4625でのイベントの原因に関するさらなる洞察を提供します。
Windowsイベントの回復
削除されたWindowsイベントを回復する可能性を高めるために、疑わしいコンピュータの電源を直接抜いてシャットダウンすることをお勧めします。Bulk_extractorは、.evtx拡張子を指定する回復ツールで、これらのイベントを回復しようとする際に推奨されます。
Windowsイベントを通じて一般的な攻撃を特定する
一般的なサイバー攻撃を特定するためにWindowsイベントIDを利用する包括的なガイドについては、Red Team Recipeを訪れてください。
ブルートフォース攻撃
複数のEventID 4625レコードによって識別され、攻撃が成功した場合はEventID 4624が続きます。
時間変更
EventID 4616によって記録され、システム時間の変更はフォレンジック分析を複雑にする可能性があります。
USBデバイストラッキング
USBデバイストラッキングに役立つシステムイベントIDには、初回使用のための20001/20003/10000、ドライバー更新のための10100、挿入タイムスタンプのためのEventID 112が含まれます。
システム電源イベント
EventID 6005はシステムの起動を示し、EventID 6006はシャットダウンを示します。
ログ削除
セキュリティEventID 1102はログの削除を示し、フォレンジック分析にとって重要なイベントです。
tip
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE)
GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)
Azureハッキングを学び、実践する:HackTricks Training Azure Red Team Expert (AzRTE)
HackTricksをサポートする
- サブスクリプションプランを確認してください!
- **💬 Discordグループまたはテレグラムグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローしてください。
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出してハッキングトリックを共有してください。