Windows forensics (adli bilişim) kanıtları

Dosya çalıştırılma (execution) kanıtları

Kanıt adı: EventLog (Security, System, TaskScheduler-Operational) Dizin: C:\Windows\System32\winevt\Logs

Kanıt adı: Prefetch Dizin: C:\Windows\Prefetch

Kanıt adı: ShimCache/AppCombatCache Dizin: C:\Windows\System32\config (HKLM\SYSTEM\CurrentControlSet\Control\SessionManager\AppCompatCache\AppCompatCache)

Kanıt adı: Amcache Dizin: C:\Windows\AppCompat\Programs\Amcache.hve

Kanıt adı: UserAssist Dizin: C:\Users\kullanıcı adı\NTUSER.dat (HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist{GUID}\Count)

Kanıt adı: Zamanlanmış görevler Dizin: C:\Windows\System32\Tasks\SchedLgU.Txt

Kanıt adı: Background Activity Monitor Dizin: C:\Windows\System32\config (HKLM\SYSTEM\CurrentControlSet\Services\bam\State\UserSettings\SID)

Kanıt adı: Jump Lists Dizin: %USERPROFILE%\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations

Kanıt adı: RecentApps Dizin: C:\Windows\System32\config (HKCU\Software\Microsoft\Windows\Current Version\Search\RecentApps)

Kalıcılık (persistence) kanıtları

Kanıt adı: Registry Dizin: C:\Users\NTUSER.dat ve C:\Windows\System32\config

Kanıt adı: Zamanlanmış görevler Dizin: C:\Windows\System32\Tasks

Kanıt adı: Startup klasörü Dizin: %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup

Kanıt adı: Hijacked DLL Dizin: Zararlı DLL'in konulacağı dizin

Dosya silinme kanıtları

Kanıt adı: MFT Dizin: C:\$MFT

Kanıt adı: $I30/INDX Dizin: İlgili klasör

Kanıt adı: Silinme operasyonlarına dair çalıştırılma kanıtları Dizin: (Bkz: Dosya çalıştırılma (execution) kanıtları)

Kanıt adı: Geri dönüşüm kutusu Dizin: C:\$RecycleBin

Kanıt adı: MRU Dizin:: C:\Windows\System32\config

Kanıt adı: Link dosyaları Dizini: %USERNAME%\AppData\Roaming\Microsoft\Windows\Recent

Furkan ÇALIŞKAN

Read more posts by this author.