| 关联规则 | 关联知识 | 关联工具 | 关联文档 | 关联抓包 |
| 参考1(官网) | |
| 参考2 | |
| 参考3 |
06
外部设备/USB使用
[出自:jiwo.org]
1 关键字认证
• SYSTEM\CurrentControlSet\Enum\USBSTOR
• SYSTEM\CurrentControlSet\Enum\USB
2 插入/拔出时间
1)即插即用日志文件(第一次)
XP:
C:\Windows\setupapi.log
Win7/8/10:
C:\Windows\inf\setupapi.dev.log
2)(第一次,最后一次,拔出)(在Win7/8/10)
System Hive:
\CurrentControlSet\Enum\USBSTOR\Ven_Prod_Version\USBSerial#\Properties\ {83da6326-97a6-4088-9453-a19231573b29}\####
0064 = 第一次安装(Win7-10)
0066 = 最后一次连接 (Win8-10)
0067 = 最后一次拔出 (Win8-10)
3 用户
• 查找GUID从SYSTEM\MountedDevices
• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ MountPoints2
4 pnP 事件
Win7/8/10:
%system root%\System32\winevt\logs\System.evtx
5 卷序列号
SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ ENDMgmt
6 驱动器号和卷名
XP:
找到ParentIdPrefix – SYSTEM\CurrentControlSet\Enum\ USBSTOR
Win7/8/10:
• SOFTWARE\Microsoft\Windows Portable Devices\Devices
• SYSTEM\MountedDevices
7 文件快捷方式(LNK)
XP:
%USERPROFILE%\Recent
Win7/8/10:
• %USERPROFILE%\AppData\Roaming\Microsoft\Windows\ Recent
• %USERPROFILE%\AppData\Roaming\Microsoft\Office\Recent
07
账户使用情况
1 上次登录
• C:\windows\system32\config\SAM
• SAM\Domains\Account\Users
2 上次密码修改
• C:\windows\system32\config\SAM
• SAM\Domains\Account\Users
3 远程桌面使用情况
Win7/8/10:
%SYSTEM ROOT%\System32\winevt\logs\Security.evtx
4 服务事件
所有事件ID对应的系统日志
7034 - 服务意外崩溃
7035 - 服务发送了启动/停止控制
7036 - 服务已启动或已停止
7040 - 启动类型已更改(Boot | On Request | Disabled)
7045 - 系统上安装了一项服务(Win2008R2 +)
4697 - 系统上安装了一项服务(来自安全日志)
5 登录类型
Win7/8/10:
Event ID 4624
6 授权事件
Win7/8/10:
%SYSTEM ROOT%\System32\winevt\logs\Security.evtx
7 成功或失败登录
Win7/8/10:
%system root%\System32\winevt\logs\Security.evtx
1
上次登录
• C:\windows\system32\config\SAM
• SAM\Domains\Account\Users
2上次密码修改
• C:\windows\system32\config\SAM
• SAM\Domains\Account\Users
3远程桌面使用情况
Win7/8/10:
%SYSTEM ROOT%\System32\winevt\logs\Security.evtx
4服务事件
所有事件ID对应的系统日志
7034 - 服务意外崩溃
7035 - 服务发送了启动/停止控制
7036 - 服务已启动或已停止
7040 - 启动类型已更改(Boot | On Request | Disabled)
7045 - 系统上安装了一项服务(Win2008R2 +)
4697 - 系统上安装了一项服务(来自安全日志)
5登录类型
Win7/8/10:
Event ID 4624
6授权事件
Win7/8/10:
%SYSTEM ROOT%\System32\winevt\logs\Security.evtx
7成功或失败登录
Win7/8/10:
%system root%\System32\winevt\logs\Security.evtx
08
文件/文件夹打开
1 打开/保存 MRU
XP:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ OpenSaveMRU
Win7/8/10:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePIDlMRU
2 最近文件
NTUSER.DAT:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
3 快速访问
Win7/8/10:
C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations
4 shell bages
访问Explorer:
• USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\Bags
• USRCLASS.DAT\Local Settings\Software\Microsoft\Windows\Shell\BagMRU
访问桌面:
• NTUSER.DAT\Software\Microsoft\Windows\Shell\BagMRU
• NTUSER.DAT\Software\Microsoft\Windows\Shell\Bags
5 文件快捷方式(LNK)
XP:
C:\%USERPROFILE%\Recent
Win7/8/10:
C:\%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\
C:\%USERPROFILE%\AppData\Roaming\Microsoft\Office\Recent\
6 prefetch
WinXP/7/8/10:
C:\Windows\Prefetch
7 最后访问的MRU
XP:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDl32\ LastVisitedMRU
Win7/8/10:
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\ LastVisitedPidlMRU
8 IE/Edge file://
Internet Explorer
IE6-7:
%USERPROFILE%\Local Settings\History\ History.IE5
IE8-9:
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\History.IE5
IE10-11
%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat
9office最近使用文件
NTUSER.DAT\Software\Microsoft\Office\VERSION
• 14.0 = Office 2010
• 11.0 = Office 2003
• 12.0 = Office 2007
• 10.0 = Office XP
NTUSER.DAT\Software\Microsoft\Office\VERSION\UserMRU\LiveID_####\FileMRU
• 15.0 = Office 365
09
网络活动/物理位置
SYSTEM Hive:
SYSTEM\CurrentControlSet\Control\TimeZoneInformation
2 cookies
1)Internet Explorer
IE6-8:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
IE10:
%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
IE11:
%USERPROFILE%\AppData\Local\Microsoft\Windows\InetCookies
2)Firefox
XP:
%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\<randomtext>.default\ cookies.sqlite
Win7/8/10:
%USERPROFILE%\AppData\Roaming\Mozilla\Firefox\Profiles\<randomtext>.default\cookies.sqlite
3)Chrome
XP:
%USERPROFILE%\Local Settings\ApplicationData\Google\Chrome\User Data\Default\ Local Storage
Win7/8/10:
%USERPROFILE%\AppData\Local\Google\Chrome\User Data\Default\Local Storage
3网络历史
Win7/8/10 SOFTWARE HIVE:
• SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Unmanaged
• SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Signatures\Managed
• SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Nla\Cache
4 无线局域网事件日志
Microsoft-Windows-WLAN-AutoConfig Operational.evtx
5 浏览器搜索记录
Internet Explorer
IE6-7:
%USERPROFILE%\Local Settings\History\History.IE5
IE8-9:
%USERPROFILE%\AppData\Local\Microsoft\Windows\History\History.IE5
IE10-11:
%USERPROFILE%\AppData\Local\Microsoft\Windows\WebCache\WebCacheV*.dat Firefox
XP:
%userprofile%\Application Data\Mozilla\Firefox\Profiles\<randomtext>.default\places.sqlite
Win7/8/10:
%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\<randomtext>.default\places.sqlite
6 系统资源利用率管理器(SRUM)(无线网络)
• SOFTWARE\Microsoft\WindowsNT\CurrentVersion\SRUM\Extensions
• {973F5D5C-1D90-4944-BE8E-24B94231A174} = Windows Network Data Usage Monitor
• {DD6636C4-8929-4683-974E-22C046A43763} = Windows Network Connectivity Usage Monitor
• SOFTWARE\Microsoft\WlanSvc\Interfaces\ C:\Windows\System32\SRU\
