Артефакти Windows
The project has been funded by the European Commission. The Education, Audiovisual and Culture Executive program (EACEA), TEMPUS IV. The content of this presentation reflects the opinion of the author.
Введення
Введення
Введення
Введення
Введення
Введення
Введення
Методологія
(конфігурація, бази даних, файли журналів, файли користувачів,...)
9
Методологія
10
Артефакти, які мають інтерес для криміналістики
Логі подій Windows
це як шукати голку в стозі сіна.
Генерується велика кількість даних
Починаючи з Windows 3.1, існує 3 види журналів подій:
🡪 Event Logs для додатків
🡪 System Logs записує відповідні події системи, напр. (неправильно завантажені драйвери і так далі)
(увімкнено за замовчуванням Vista/7 та більш пізніших версій)
🡪 дозволені або заборонені входи
🡪 Події, пов’язані з ресурсами ОС (наприклад, якщо деякі вказівки змінено, наприклад, записи входу вимкнено)
Журнал логів Windows
У Windows Vista та Windows 7, 10 включено деякі журнали:
Журнали подій Windows
Журнал подій містить наступні стандартні журнали, а також спеціальні журнали:
Журнал | Призначення |
Application (додатки) | Містить події, зареєстровані програмами. Наприклад, програма бази даних може записати помилку файлу. Розробник програми вирішує, які події записувати. |
Security (безпека) | Містить такі події, як дійсні та недійсні спроби входу, а також події, пов’язані з використанням ресурсів, наприклад створення, відкриття або видалення файлів чи інших об’єктів. Адміністратор може розпочати аудит, щоб записувати події в журнал безпеки. |
System (система) | Містить події, зареєстровані компонентами системи, як-от збій завантаження драйвера або іншого системного компонента під час запуску. |
CustomLog (Користувацький журнал) | Містить події, зареєстровані програмами, які створюють спеціальний журнал. Використання спеціального журналу дозволяє програмі контролювати розмір журналу або приєднувати списки керування доступом з метою безпеки, не впливаючи на інші програми. |
Служба реєстрації подій використовує інформацію, що зберігається в розділі реєстру Eventlog. Ключ журналу подій містить кілька підрозділів, які називаються журналами. Кожен журнал містить інформацію, яку служба журналювання подій використовує для пошуку ресурсів, коли програма записує та читає журнал подій.
eventvwr.msc
Отримання журналу Windows за допомогою інструментів Windows
Журнал подій в windows
Win+R
або
Журнал подій в windows
Якщо ви підозрюєте, що хтось з офісу входить під вашим обліковим записом, або ви втратили конфіденційну інформацію (паролі, фотографії тощо).
Після запуску програми «Керування комп’ютером» нам потрібно вибрати Перегляд подій-> Журнали Windows-> Розділ Система
І ось в правій частині програми шукаємо рядок з Source «Kernel General», саме вона відповідає за запуск і завершення роботи комп'ютера. Якщо двічі натиснути на цей рядок, ми побачимо деталі події.
Невеликий приклад
час завершення роботи операційної системи
час початку роботи системи
XML
Журнал подій Windows
gpedit.msc
Group Local Policy Editor
Event Logs зберігаються:
Розташування за умовчанням у Windows XP:
Розташування за умовчанням у Windows Vista and Windows 7, 10
Локації можна змінювати в реєстрі:
Журнал подій Windows
Конфігурація журналу подій:
🡪 ім’я протоколу
🡪джерело
🡪 ID подій
🡪 Користувач
🡪 Task category
🡪 комп’ютер
🡪 і т.д.
Більше інформації:
http://msdn.microsoft.com/en-us/library/windows/desktop/aa363646%28v=vs.85%29.aspx
Журнал подій Windows
Яка інформація зберігається в цих журналах подій:
Вторгнення в систему (коли і як)
Мітки часу входу та виходу
Оновлення інформації
Встановлення програмного та апаратного забезпечення
Попередження та помилки
Навіть останні SSID та IP-адреси з останніх підключень Wi-Fi зберігаються деякий час (WLAN-AutoConfig)
З Windows 7 розмір логфайлів збільшується.
Журнал подій Windows
Інструменти для перегляду та оцінки журналів подій
http://www.microsoft.com/downloads/details.aspx?FamilyID=890CD06B-ABF8-4C25-91B2-F8D975CF8C07
🡪Evtx парсер (Vista і Windows 7)
http://computer.forensikblog.de/2009/12/evtx_parser_1_0_1.html
🡪WindowsNT Event Log Viewer (показано у читабельному форматі)
http://www.codeproject.com/KB/system/sysevent.aspx
http://projects.sentinelchicken.org/grokevt/
Event Log Explorer
Журнал подій Windows
Існує п’ять типів подій, які можна реєструвати. Усі вони мають чітко визначені загальні дані та, за бажанням, можуть включати дані про конкретні події. Програма вказує тип події, коли повідомляє про подію. Кожна подія має бути одного типу.
Засіб перегляду подій відображає окрему піктограму для кожного типу в списку журналу подій.
У наведеній нижче таблиці описано п’ять типів подій, які використовуються в журналі подій.
Тип подій | Призначення |
Помилка | Подія, яка вказує на серйозну проблему, наприклад втрату даних або втрату функціональності. Наприклад, якщо служба не завантажується під час запуску, реєструється подія Error. |
Попередження | Подія, яка не обов’язково є важливою, але може вказувати на можливу проблему в майбутньому. Наприклад, коли на диску мало місця, реєструється подія Попередження. Якщо програма може відновити подію без втрати функціональності або даних, вона може класифікувати подію як подію попередження. |
Інформація | Подія, яка описує успішну роботу програми, драйвера або служби. Наприклад, коли мережевий драйвер успішно завантажується, може бути доречним зареєструвати інформаційну подію. Зауважте, що для програми для настільних комп’ютерів неприйнятно реєструвати подію щоразу під час її запуску. |
Аудит успіху | Подія, яка фіксує перевірену успішну спробу безпечного доступу. Наприклад, успішна спроба користувача увійти в систему реєструється як подія аудиту успіху. |
Аудит несправностей | Подія, яка фіксує невдалу перевірену спробу доступу. Наприклад, якщо користувач намагається отримати доступ до мережевого диска та не вдається, ця спроба реєструється як подія несправності. |
Ідентифікатор події. Значення є специфічним для джерела події для події та використовується з ім’ям джерела для пошуку рядка опису у файлі повідомлення для джерела події.
Журнал безпеки
Це основне місце зберігання журналів безпеки системи. Це включає події для входу/виходу користувачів, доступу до об’єктів, зміни в політиках та інші дії, пов’язані з безпекою. Звичайно, якщо налаштовано відповідну політику.
Перебор користувачів і груп (події 4798 та 4799). Вредоносне ПЗ на початку самої атаки часто перебирає локальні облікові записи користувачів і локальні групи на робочих станціях, щоб знайти облікові дані для своїх шкідливих дій. Ці події допомагають обнаружить шкідливий код раніше, ніж він двинется далі, і, використовуючи зібрані дані, розповсюджується на інші системи.
Створення локального облікового запису та зміни в локальних групах (події 4720, 4722–4726, 4738, 4740, 4767, 4780, 4781, 4794, 5376 і 5377). Атака також може початися, наприклад, з додаванням нового користувача в групу локальних адміністраторів.
Намагання входу з локального облікового запису (подія 4624). Добропорядкові користувачі заходять з доменного облікового запису, а виявлення входу під локальний зареєстрований запис може означати початок атаки. Подія 4624 включає також входи під доменний обліковий запис, тому при обробці подій необхідно зафільтрувати події, в яких домен відрізняється від імені робочої станції.
Намагання входу із заданим уточним записом (подія 4648). Таке буває, коли процес виконується в режимі «Запуск від імені» (запуск від імені). У нормальному режимі роботи система такого не повинна бути, тому такі події повинні знаходитися під контролем.
Приклади
Блокування/розблокування робочої станції (події 4800-4803). До категорії підозрілих подій можно віднести будь-які дії, які вийшли на заблоковану робочу станцію.
�Змінення конфігурації файрволла (події 4944-4958). Очевидно, що при установці нового ПЗ параметри конфігурації файрволла можуть змінюватися, що викликає погані обробки.
Підключення пристроїв Plug’n’play (події 6416 і тільки для WIndows 10). Для цього важливо слідувати, якщо користувачі зазвичай не підключають нові пристрої до робочих станцій, а тут вдруге — і підключили.
Приклади
Подія безпеки Windows ID 4740
Operating Systems | Windows 2008 R2 and 7�Windows 2012 R2 and 8.1�Windows 2016 and 10�Windows Server 2019� |
Category� • Subcategory | Account Management � • User Account Management |
Type | Success � |
Corresponding events�in Windows 2003�and before | 644 |
Указаний обліковий запис користувача було заблоковано після неодноразових помилок входу через неправильний пароль.
Ця подія реєструється як для локальних облікових записів, так і для облікових записів домену.
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4740
Інформація для дискусій:
4771: Помилка попередньої автентифікації Kerberos
Подія безпеки Windows ID 4771
Operating Systems | Windows 2008 R2 and 7�Windows 2012 R2 and 8.1�Windows 2016 and 10�Windows Server 2019� |
Category� • Subcategory | |
Type | Failure � |
Corresponding events�in Windows 2003�and before | 675 |
Ця подія реєструється лише на контролерах домену, і реєструються лише випадки збою цієї події.
На початку дня, коли користувач сідає за свою робочу станцію та вводить ім’я користувача та пароль свого домену, робоча станція зв’язується з локальним DC і запитує TGT. Якщо ім’я користувача та пароль правильні, а обліковий запис користувача проходить перевірку статусу й обмежень, DC надає TGT і реєструє подію з ідентифікатором 4768 (квиток автентифікації надано). Якщо запит на квиток не вдасться, Windows зареєструє цю подію, помилку 4771 або 4768, якщо проблема виникла під час «попередньої автентифікації». У Windows Kerberos перевірка пароля відбувається під час попередньої автентифікації.�
https://www.ultimatewindowssecurity.com/securitylog/encyclopedia/event.aspx?eventID=4771
Event Log Explorer
Event Log Explorer
Точки відновлення та служба тіньових копій �RESTORE POINTS vs. VOLUME SHADOW COPY
RESTORE POINTS (Windows XP)
RESTORE POINTS (Windows 7)
RESTORE POINTS (Windows XP)
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SystemRestore