windows取证 | 您所在的位置:网站首页 › 查看卸载软件历史记录 › windows取证 |
windows取证——文件执行记录的获取和清除 By七友 / 2020-01-29 19:00:42 / 浏览数 19933 社区板块 渗透测试 顶(2) 踩(0) 前言当我们拿下一台windows主机权限的时候之后,我们第一步需要全面了解主机的信息,而文件执行记录也是一个非常重要的点,下面总结常见文件执行记录的位置、以及单条清除方法 从日志中获取 Audit Process Creation (592/4688)在启用了"审核进程创建"时记录4688的情况下(系统默认是关闭的,需要手动开启),Windows 7、Windows Server 2008及以上版本,会在每次创建一个进程时会把事件以Event ID为4688记录到windows安全日志中 注:Windows XP/2003的Event ID为592 开启:Edit Default Domain Policy -> Policy location: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Configuration -> Detailed Tracking 策略名称: Audit Process Creation 查看ID为4688的安全事件: 命令行获取: wevtutil qe security /rd:true /f:text /q:"Event[System[(EventID=4688)]]"清除方法:可以参考三好学生师傅这篇文章 Program Inventory Event LogProgram Inventorywin7及以上存在,主要用于记录软件活动摘要、安装的程序、安装的Internet Explorer加载项、更新的应用程序、已删除的应用程序 文件夹中的位置:C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Inventory.evtx,如图 在Windows事件查看器的位置:Applications and Services Logs\Microsoft\Application-Experience\Program-Inventory,如图 日志获取: wevtutil qe /f:text Microsoft-Windows-Application-Experience/Program-InventoryEnvent IDs: 800 (summary of software activities) 900 & 901 (new Internet Explorer add-on) 903 & 904 (new application installation) 905 (updated application) 907 & 908 (removed application)清除方法:可以参考三好学生师傅这篇文章 Program-Telemetry Event Logwin7及以上存在,在应用程序启动时为应用程序处理应用程序兼容性缓存请求 文件夹中的位置:C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Telemetry.evtx 在Windows事件查看器的位置:Applications and Services Logs\Microsoft\Application-Experience\Program-Telemetry,如图 日志获取: wevtutil qe /f:text Microsoft-Windows-Application-Experience/Program-TelemetryEvent IDs:500/505 清除方法:可以参考三好学生师傅这篇文章 从注册表中获取 ShimCache (AppCompatCache)用来识别应用程序兼容性问题。缓存数据跟踪文件路径、大小、上次修改时间和是否被执行(取决于操作系统),Windows XP的ShimCache被限制为96条记录,此后所有版本最多保留1024条记录。 注:虽然记录在ShimCache中的存在但是并不能100%证明文件是被执行过的,但它确实显示了与文件交互的窗口 注册表位置: 注:数据加密,重启之后更新 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache解析工具(C#): https://github.com/EricZimmerman/AppCompatCacheParser/例子 以csv格式保存的指定路径 AppCompatCacheParser.exe --csv .按上次修改时间排序 AppCompatCacheParser.exe --csv . -t如果我们想离线分析,我们可以用这个项目:https://github.com/mandiant/ShimCacheParser 导出注册表 reg export "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache" ShimCache.reg解析 python ShimCacheParser.py -o test.csv -r ShimCache.reg -t结果 清除方法: 导出ShimCache reg export "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache" ShimCache.reg 重启之后(只能重启之后ShimCache才会更新,注销不行),导入注册表将重启之后的覆盖掉 reg import ShimCache.reg UserAssist跟踪在资源管理器中打开的可执行文件和完整路径,其中UserAssist保存了windows执行的程序的运行次数和上次执行日期和时间。 注册表位置: 注:记录实时更新,数据rot-13加密 当前用户: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist 所有用户: HKEY_USERS\\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist `解析工具:https://www.nirsoft.net/utils/userassist_view.html 图形化界面 命令行使用 UserAssistView.exe /stext out.txt //保存文本格式 UserAssistView.exe /shtml out.txt //保存html格式 UserAssistView.exe /sxml out.txt //保存xml格式清除方法:删除对应的键值即可 MUICache每次开始使用新的应用程序时,Windows都会自动从exe文件的版本资源中提取应用程序名,并将其存储在名为MuiCache的注册表项中,供以后使用。 注:无加密,记录实时更新 注册表位置: windows server 2003及以前的 当前用户: HKEY_CURRENT_USER/Software/Microsoft/Windows/ShellNoRoam/MUICache 所有用户: HKEY_USERS\\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCachewindows server 2003及以后的 当前用户: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache 所有用户: HKEY_USERS\\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache图形化界面: 解析工具:http://www.nirsoft.net/utils/muicache_view.html 命令行使用 MUICache.exe /stext out.txt //保存文本格式 MUICache.exe /shtml out.txt //保存html格式 MUICache.exe /sxml out.txt //保存xml格式或者命令行直接查询注册表也可以 reg query "HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache"清除方法:删除对应的键值即可 RunMRU保存Win+R启动程序的历史记录 注册表位置: 注:数据无加密,记录实时更新 当前用户: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU 所有用户: HKEY_USERS\\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU命令行查询注册表 reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU"清除方法:删除注册表对应的键值即可 AppCompatFlags Registry Keys保存所有以兼容模式启动的程序(包括以管理员身份运行的程序): 注:无加密,数据实时更新 HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers查询方式直接查询注册表即可: reg query "HKLM\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers"保存所有执行过的程序: 解析工具:https://nirsoft.net/utils/executed_programs_list.html 这个工具会解析如下路径(包含了上面我们说过的MUICache,也包含了我们后面说的Prefetch) 注:1 ~ 4无加密,5加密,1 ~ 5数据实时更新 1. Registry Key: HKEY_CURRENT_USER\Software\Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache 2. Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache 3. Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Persisted 4. Registry Key: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store 5. Windows Prefetch folder (C:\Windows\Prefetch)图形化界面: 命令行解析: ExecutedProgramsList.exe /stext out.txt //保存文本格式 ExecutedProgramsList.exe /shtml out.txt //保存html格式 ExecutedProgramsList.exe /sxml out.txt //保存xml格式清除方法:删除对应的注册表键值 Background Activity Moderator (BAM)BAM是一个控制后台应用程序活动的Windows服务,该服务存在于windows10 version 1709及以后版本中 注册表路径为: 注:记录实时更新,数据无加密 HKLM\SYSTEM\CurrentControlSet\Services\bam\UserSettings\{SID}记录包含了程序路径和上次执行日期和时间,其中执行日期键值类型为FILETIME(64bit little Endian) 执行时间提取:以winrar为例子 把filetime转化为datetime from __future__ import division import struct import sys from binascii import unhexlify from datetime import datetime, timedelta nt_timestamp = struct.unpack(" |
CopyRight 2018-2019 实验室设备网 版权所有 |