标题 简介 类型 公开时间
关联规则 关联知识 关联工具 关联文档 关联抓包
参考1(官网)
参考2
参考3
详情
[SAFE-ID: JIWO-2020-2621]   作者: 闲云野鸡 发表于: [2020-03-27]

本文共 [43] 位读者顶过

06

外部设备/USB使用

                                                                                                                                             [出自:jiwo.org]

1 关键字认证

• SYSTEM\CurrentControlSet\Enum\USBSTOR

• SYSTEM\CurrentControlSet\Enum\USB



2 插入/拔出时间

1)即插即用日志文件(第一次)

XP:

C:\Windows\setupapi.log


Win7/8/10:

C:\Windows\inf\setupapi.dev.log


2)(第一次,最后一次,拔出)(在Win7/8/10) 

System Hive:  

\CurrentControlSet\Enum\USBSTOR\Ven_Prod_Version\USBSerial#\Properties\ {83da6326-97a6-4088-9453-a19231573b29}\####

0064 = 第一次安装(Win7-10)

0066 = 最后一次连接 (Win8-10)

0067 = 最后一次拔出 (Win8-10)



3 用户

• 查找GUID从SYSTEM\MountedDevices

• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ MountPoints2



4 pnP 事件

Win7/8/10:

%system root%\System32\winevt\logs\System.evtx



5 卷序列号

SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ ENDMgmt



6 驱动器号和卷名

XP:

找到ParentIdPrefix – SYSTEM\CurrentControlSet\Enum\ USBSTOR


Win7/8/10:

• SOFTWARE\Microsoft\Windows Portable Devices\Devices

• SYSTEM\MountedDevices



7 文件快捷方式(LNK)

XP:

%USERPROFILE%\Recent 


Win7/8/10:

• %USERPROFILE%\AppData\Roaming\Microsoft\Windows\ Recent 

• %USERPROFILE%\AppData\Roaming\Microsoft\Office\Recent



07

账户使用情况



                                                                                                                                                

1 上次登录

• C:\windows\system32\config\SAM  

• SAM\Domains\Account\Users



2 上次密码修改

• C:\windows\system32\config\SAM

• SAM\Domains\Account\Users



3 远程桌面使用情况

Win7/8/10: 

%SYSTEM ROOT%\System32\winevt\logs\Security.evtx



4 服务事件

所有事件ID对应的系统日志

7034  - 服务意外崩溃

7035  - 服务发送了启动/停止控制

7036  - 服务已启动或已停止

7040  - 启动类型已更改(Boot | On Request | Disabled)

7045  - 系统上安装了一项服务(Win2008R2 +)

4697  - 系统上安装了一项服务(来自安全日志)



5 登录类型

Win7/8/10:

Event ID 4624



6 授权事件

Win7/8/10:

%SYSTEM ROOT%\System32\winevt\logs\Security.evtx



7 成功或失败登录

Win7/8/10:

%system root%\System32\winevt\logs\Security.evtx


1

上次登录

• C:\windows\system32\config\SAM  

• SAM\Domains\Account\Users

2

上次密码修改

• C:\windows\system32\config\SAM

• SAM\Domains\Account\Users

3


远程桌面使用情况

Win7/8/10: 

%SYSTEM ROOT%\System32\winevt\logs\Security.evtx

4

服务事件

所有事件ID对应的系统日志

7034  - 服务意外崩溃

7035  - 服务发送了启动/停止控制

7036  - 服务已启动或已停止

7040  - 启动类型已更改(Boot | On Request | Disabled)

7045  - 系统上安装了一项服务(Win2008R2 +)

4697  - 系统上安装了一项服务(来自安全日志)

5

登录类型

Win7/8/10:

Event ID 4624

6

授权事件

Win7/8/10:

%SYSTEM ROOT%\System32\winevt\logs\Security.evtx

7

成功或失败登录

Win7/8/10:

%system root%\System32\winevt\logs\Security.evtx

08

文件/文件夹打开


                                                                                                                                   


1 打开/保存 MRU

XP:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ OpenSaveMRU


Win7/8/10:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU



2 最近文件

NTUSER.DAT:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs



3 快速访问

Win7/8/10: 

C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations



4 shell bages

访问Explorer:

• USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\Bags

• USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\BagMRU


访问桌面:

• NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU

• NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags



5 文件快捷方式(LNK)

XP:

C:\%USERPROFILE%\Recent 


Win7/8/10:

C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\

C:\%USERPROFILE%\AppData\Roaming\Microsoft\Office\Recent\



6 prefetch

WinXP/7/8/10:

C:\Windows\Prefetch



7 最后访问的MRU

XP:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDl32\ LastVisitedMRU


Win7/8/10:

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ LastVisitedPidlMRU



8 IE/Edge file://

Internet Explorer

IE6-7:  

%USERPROFILE%\Local Settings\History\ History.IE5


IE8-9: 

%USERPROFILE%\AppData\Local\Microsoft\Windows\History\History.IE5


IE10-11  

%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat

9

office最近使用文件

NTUSER.DAT\Software\Microsoft\Office\VERSION

• 14.0 = Office 2010 

• 11.0 = Office 2003

• 12.0 = Office 2007 

• 10.0 = Office XP 


NTUSER.DAT\Software\Microsoft\Office\VERSION\UserMRU\LiveID_####\FileMRU

• 15.0 = Office 365


09

网络活动/物理位置


1 时区

SYSTEM Hive:

SYSTEM\CurrentControlSet\Control\TimeZoneInformation


2 cookies

1)Internet Explorer

IE6-8: 

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies


IE10: 

%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies


IE11: 

%USERPROFILE%\AppData\Local\Microsoft\Windows\InetCookies


2)Firefox

XP:

%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\<randomtext>.default\ cookies.sqlite


Win7/8/10:

%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\<randomtext>.default\cookies.sqlite


3)Chrome

XP:

%USERPROFILE%\Local Settings\ApplicationData\Google\Chrome\User Data\Default\ Local Storage


Win7/8/10:

%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\Local Storage

3

网络历史

Win7/8/10 SOFTWARE HIVE:

• SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged

• SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed

• SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache


4 无线局域网事件日志

Microsoft-Windows-WLAN-AutoConfig Operational.evtx


5 浏览器搜索记录

Internet Explorer

IE6-7:

%USERPROFILE%\Local Settings\History\History.IE5


IE8-9:

%USERPROFILE%\AppData\Local\Microsoft\Windows\History\History.IE5


IE10-11:

%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat Firefox


XP:

%userprofile%\Application Data\Mozilla\Firefox\Profiles\<randomtext>.default\places.sqlite


Win7/8/10:

%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\<randomtext>.default\places.sqlite


6 系统资源利用率管理器(SRUM)(无线网络)

• SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions

• {973F5D5C-1D90-4944-BE8E-24B94231A174} = Windows Network Data Usage Monitor

• {DD6636C4-8929-4683-974E-22C046A43763} = Windows Network Connectivity Usage Monitor 

• SOFTWARE\Microsoft\WlanSvc\Interfaces\ C:\Windows\System32\SRU\

评论

暂无
发表评论
 返回顶部 
热度(43)
 关注微信