Что такое артефакты в Windows (судебные доказательства) и как их анализировать?

Последнее обновление: 22/09/2025
Автор: Исаак
  • Криминалистические артефакты в Windows Они позволяют точно атрибутировать деятельность и реконструировать хронологию.
  • События Журналы, Предварительная выборка, LNK, Реестр, NTFS и SRUM составляют ядро ​​практического анализа.
  • Важнейшее значение имеют корреляция источников и судебное сохранение (хэши, цепочка поставок).
  • Такие инструменты, как пакет Zimmerman, Autopsy/FTK и Volatility, ускоряют получение и проверку результатов.

Криминалистические артефакты в Windows

La судебная информатика В средах Windows необходимо понимать, как система оставляет следы всего происходящего: действий пользователя, выполнения программ, сетевых подключений и изменений конфигурации. Эти следы, называемые артефактами, служат исходным материалом для реконструкции инцидентов без ущерба для целостности доказательств.

В реальных инцидентах, криминалистические артефакты Они позволяют создавать временные шкалы, идентифицировать используемые учётные записи, выявлять постоянство и предоставлять доказательства, допустимые в суде. Хотя данные разрозненны и некоторые из них подвержены изменениям, в Windows есть источники, которые легко собирать и которые чрезвычайно информативны.

Как использовать инструмент pslist в Windows
Теме статьи:
Как использовать PsList в Windows: полное руководство

Что такое криминалистические артефакты в Windows и почему они важны?

Криминалистический артефакт – это любой запись, файл или метаданные которые система автоматически создаёт во время использования. В Windows к ним относятся журналы событий и предварительная выборка, реестр, LNK, ShellBags, SRUM и собственная телеметрия файловой системы (NTFS). Каждый из них вносит свой вклад в общую картину, помогая ответить на вопросы «что», «кто», «когда», «откуда» и «какое влияние».

Благодаря его анализу возможно реконструировать хронологии (создание/изменение/удаление файлов, выполнение приложений), связывать активность с пользователями или компьютерами, обнаруживать методы персистентности и бокового перемещения, а также подкреплять экспертные отчеты убедительными доказательствами.

Журналы событий: ключевые идентификаторы и пути

  • Вход в сеанс: 4624 (успешно), 4625 (не удалось), 4634/4647 (завершение работы), 4648 (вход с явными учетными данными), 4672 (вход с повышенными привилегиями).
  • Чувствительные изменения: 4719 сообщает об изменениях в политиках аудита, полезных для выявления попыток взлома.
  • Услуги: 7034 (сбой), 7035 (запуск/остановка), 7036 (запуск/остановка), 7040 (изменён тип запуска), 7045 и 4697 (служба установлена).
  • RDP: 4778 (сеанс подключен/повторно подключен) и 4779 (отключен), идеально подходит для отслеживания использования удаленного рабочего стола.

Чтобы отфильтровать неудачные стартапы PowerShell, ты можешь бросить прямая консультация по журналу безопасности:

Get-WinEvent -LogName Security | Where-Object { $_.Id -eq 4625 } | Select-Object TimeCreated, Message

Собственный просмотрщик (eventvwr.msc) и такие утилиты, как Фуллэвентлогвиев сделать эти данные легко просматриваемыми и экспортируемыми, что крайне важно для Профили DFIR которые выстраивают временные рамки.

Предварительная выборка: выполнение программы и временной контекст

Механизм предварительной выборки записывает выполнение двоичных файлов чтобы ускорить Загрузка приложения. Для эксперта-криминалиста это настоящее золото, потому что оно сохраняет следы даже при исчезновении исполняемого файла. Файлы .pf хранятся C:\\Windows\\Prefetch\\ а его название включает исполняемый файл и хэш пути, который помогает различать экземпляры одного и того же приложения, запущенные из разных мест.

  • Windows XP–7: создает один .pf-файл за один запуск с ограничением около 128 записей.
  • Windows 8 +: интегрируется с SysMain (ранее Superfetch) и увеличивает лимит до ~1024, обеспечивая более богатые трассировки.
  • ОС Windows 10 / 11: Поддерживает интеграцию с SysMain и обеспечивает детализацию последнего запуска.
  • Windows Server: В некоторых редакциях он может быть отключен по умолчанию.
  Как воспользоваться историей буфера обмена в Windows 11

Распространенные варианты использования: идентифицировать выполненное вредоносное ПО, демонстрировать возможности удалённого администрирования в горизонтальных перемещениях или подтверждать действия пользователя с течением времени. Для анализа: PECmd (Эрик Циммерман), WinPrefetchView и быстрый просмотр с помощью PowerShell последней записи .pf:

Get-ChildItem -Path C:\Windows\Prefetch -Filter *.pf | Select-Object Name, LastWriteTime

Файлы LNK: ярлыки с криминалистическими метаданными

Ярлыки .lnk раскрываются что было открыто, откуда и когда, и даже детали устройства (серии USB), что является ключом к подозрению на утечку. Вы найдете LNK на рабочем столе пользователя и в папке «Недавние»:

  • Стол: C:\\Пользователи\\ \\Рабочий стол\\
  • недавний: C:\\Пользователи\\ \\AppData\\Roaming\\Microsoft\\Windows\\Recent\\
  • Другие сочетания клавиш: Меню «Пуск» и панель быстрого запуска в профиле пользователя.

Полезные инструменты: LECmd для извлечения полных метаданных (сетевые маршруты, серийные номера, временные метки) и ShellBagsExplorer для дополнения контекста навигации Проводника. С помощью PowerShell можно вывести список последних элементов и их последних изменений:

Get-ChildItem -Path "C:\Users\<usuario>\AppData\Roaming\Microsoft\Windows\Recent" -Filter *.lnk | Select-Object Name, LastWriteTime

Эти артефакты помогают атрибутивная активность к учетным записям и сеансам, даже если исходный файл был перемещен или удален.

Реестр Windows: сохранение, USB и активность пользователя

Реестр — это иерархический склад Конфигурация системы и приложений. Из неё мы получаем данные об автоматическом запуске (персистентность), подключённых устройствах и списках последних файлов, среди прочего.

  • Автоматический старт (персистентность): HKLM:\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
Get-ItemProperty -Path "HKLM:\Software\Microsoft\Windows\CurrentVersion\Run" | Select-Object *
  • Сборочные единицы: HKLM:\\SYSTEM\\MountedDevices
Get-ItemProperty -Path "HKLM:\SYSTEM\MountedDevices" | Select-Object *

важно: MountedDevices сопоставляет буквы дисков; чтобы отслеживать конкретные USB-устройства и их историю, лучше всего обратиться к USBSTOR (например, SYSTEM\\CurrentControlSet\\Enum\\USBSTOR).

Два основных артефакта при выполнении программы: Shimcache (AppCompatCache) y Amcache:

  • Шимкэш: указывает, какие исполняемые файлы присутствовали/выполнялись, но не точное время. Ключ: HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache
  • Amcache: Подробный перечень с хэшами SHA1, путями и временными метками, идеально подходит для определения когда и как Файл был запущен. Ключ: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\AppCompatFlags\Amcache
Get-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache" | Select-Object *
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\AppCompatFlags\Amcache" | Select-Object *

Для навигации по папкам используйте ShellBags Это классика. Они позволяют восстановить просмотренные каталоги, даже если они больше не существуют. Они находятся в HKU\\ \\Программное обеспечение\\Microsoft\\Windows\\Shell\\BagMRU и HKU\\ \\Программное обеспечение\\Microsoft\\Windows\\Shell\\Bags.

Get-ItemProperty -Path "HKU:\<SID>\Software\Microsoft\Windows\Shell\BagMRU" | Select-Object *

Еще больше ключевых артефактов в Windows: от рабочего стола до NTFS

В дополнение к вышеперечисленному, существуют дополнительные источники которые обогащают анализ и заполняют пробелы в хронологии.

  • Гибернация и подкачка: hiberfil.sys и pagefile.sys могут содержать учетные данные, остатки сеанса и структуры памяти.
  • UserAssist/MRU: Ключи в NTUSER.DAT, которые показывают недавно использованные программы и недавно открытые/сохраненные документы.
  • БАМ/ДАМ: Модераторы фоновой и рабочей активности, полезные для понимания фактическое использование процессов на пользователя.
  • Autoruns: Точки автозапуска, видимые с помощью Sysinternals Autoruns или собираемые при сортировке (KAPE/IR-Rescue).
  • Списки переходов: списки переходов, отражающие часто используемые файлы/приложения, еще один вектор для атрибуция.

Браузеры: история, кэш, файлы cookie и восстановление

Браузеры концентрируются намерение и действиеВ IE/Edge/Chromium/Firefox мы можем извлекать историю браузера, поисковые запросы, кэш, сеансы и файлы cookie, что позволяет контекстуализировать загрузок, переводы или доступ к внутренним ресурсам.

  • IE/Edge (устаревший): WebCacheV*.dat, Content.IE5, History.IE5
  • Firefox: places.sqlite (история), downloads.sqlite (загрузки), sessionstore.js (восстановление)
  • Хром / Хром: По умолчанию\История, По умолчанию\Кэш
  • Файлы: в профилях пользователей IE/Edge/Firefox/Chrome
  Способ переключения между градусами Цельсия и Фаренгейта на iPhone и Mac

Чтобы просмотреть эти источники: BrowsingHistoryView ускоряет кросс-инвентаризацию; кроме того, хранилища кэша и файлов cookie помогают подтвердить эксфильтрации через Интернет или с использованием SaaS-приложений.

NTFS и артефакты файловой системы

Файловая система NTFS уже гранулярная телеметрия что крайне важно для выяснения того, что произошло с файлами.

  • $ MFT: Основная таблица файлов с метаданными (даты, размеры, списки контроля доступа). Анализируется с помощью Mft2Csv и просматривается с помощью Registry Explorer.
  • $UsnJrnl: журнал изменений тома (создание/изменение/удаление), очень полезен для обнаружения muestras из вредоносных программ или принудительное удаление.
  • $LogFile: Внутренние транзакции NTFS играют ключевую роль в восстановлении операций и устранении сбоев.

Такие инструменты, как Просмотрщик журналов NTFS o Отслеживание журналов NTFS разрешить обработку $UsnJrnl и $LogFile, при этом Х-Пути, Autopsy или FTK предоставляют мощные криминалистические просмотрщики и фильтры.

USB и внешние устройства: прослеживаемость и пользователи

Для USB Windows хранит информацию о поставщик, продукт и серия В разделе SYSTEM\CurrentControlSet\Enum\USB и USBSTOR в Windows 8–10 хранятся такие этапы, как первая установка (0064), последнее подключение (0066) и последнее удаление (0067).

  • Связанный пользователь: NTUSER.DAT\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\MountPoints2
  • тома: СИСТЕМА\\MountedDevices и ПРОГРАММНОЕ ОБЕСПЕЧЕНИЕ\\Microsoft\\Windows Portable Devices\\Устройства
  • События PnP: System.evtx может отражать установку драйверы (например, 20001)

С этими источниками это осуществимо подключить USB с действиями в системе (обработка файлов, доступ к путям) и с определенной учетной записью.

Учетные записи, аутентификация и RDP

База данных SAM сохраняет данные локальной учетной записи и позволяет легко идентифицировать последние входы и изменения паролей. Для входа в систему точкой отсчёта служит Security.evtx с событиями 4624/4625, 4634/4647, 4648, 4672 и 4720 (создание учётной записи).

В сценариях удаленного рабочего стола управляйте события 4778/4779 Он помогает датировать соединения/разъединения, соотносить их с исходными адресами и сопоставлять их с другими артефактами, такими как LNK, Prefetch или SRUM.

Управление системными журналами и трассировками

Помимо общих журналов событий, Windows хранит конкретные записи для установки, обновления и обслуживания.

  • setupact.log: %WINDIR%\\setupact.log
  • setuperr.log: %WINDIR%\\setuperr.log
  • WindowsUpdate.log: %WINDIR%\\WindowsUpdate.log
  • ReportingEvents.log: %WINDIR%\\SoftwareDistribution\\ReportingEvents.log
  • MRT: %WINDIR%\\Debug\\mrt.log (запускается средство защиты от вредоносных программ)
  • CBS.log: %WINDIR%\\Logs\\CBS\\CBS.log (целостность компонентов)
  • Пантера: %SYSTEMROOT%\\$Windows.~BT\\Sources\\Panther\\*.log.xml и %WINDIR%\\PANTHER\\*.log.xml
  • API настройки: %WINDIR%\\INF\\setupapi.dev и %WINDIR%\\INF\\setupapi.setup
  • WinSAT: %WINDIR%\\Performance\\Winsat\\winsat.log
  • Дамп памяти: %WINDIR%\\Memory.dmp

Эти файлы очень полезны для подтвердить изменения в системе, установка драйверов и статусы после обновления, которые объясняют временные окна уязвимости или ключевые перезагрузки.

SRUM (монитор использования системных ресурсов): использование процессора, сети и мощности

SRUM — это база данных ESE, которую Windows периодически обновляет для мониторинга ресурсы на приложение/процесс/услугу. Его основной файл — SRUDB.dat, расположенный в C:\\Windows\\System32\\sru\\SRUDB.dat в Windows 8 и более поздних версиях.

Расширения SRUM отражены в реестре (например, HKLM\\SOFTWARE\\Microsoft\\Windows NT\\CurrentVersion\\SRUM\\Extensions), указывающий наборы данных, доступные в системе. Такие инструменты, как SrumECmd (Эрик Циммерман) извлекает таблицы в CSV: AppUsage, NetworkUsages, Energy и другие.

  Полное руководство по удалению фантомных устройств и потерянных драйверов в Windows

В ответ на инциденты таблица NetworkUsages Крайне важно продемонстрировать эксфильтрацию. Типичный случай: увидеть, что SSH.exe Отправил большой объём байтов в течение интервала времени, связанного с подозрительным сеансом RDP. Сортируя исходящие байты по дате, массообмен и связать его с пользователем (столбец учетной записи) и конкретным процессом.

Глаз с El Tiempo в SRUM: отметка времени Он отражает время фиксации данных в базе данных, а не обязательно точное время их выполнения. Для консолидации хронологии лучше всего сопоставлять данные SRUM с артефактами Prefetch, LNK, журналами событий и реестром.

Рекомендуемые Herramientas

Хорошо подобранный набор инструментов имеет решающее значение гипотеза и проверкаОни особенно полезны в Windows:

  • Люкс Эрика Циммермана: PECmd/WinPrefetchView (предварительная выборка), LECmd (LNK), ShellBagsExplorer (ShellBags), Registry Explorer и RECmd (реестр), SrumECmd (SRUM), Timeline Explorer (хронологии).
  • Комплект для вскрытия и сыска: Криминалистический анализ дисков с открытым исходным кодом.
  • FTK / EnCase / X-Ways: профессиональные решения для больших объемов и сложных случаев.
  • Изменчивость: Анализ оперативной памяти (с дампами hiberfil/pagefile, где это необходимо).
  • RegRipper: Автоматизированное извлечение критических ключей реестра.
  • Фуллэвентлогвиев y BrowsingHistoryView: Быстрый обзор событий и истории просмотра.

Ключевые криминалистические артефакты в Linux (сравнительный обзор)

Хотя основное внимание уделяется Windows, удобно иметь карта разума de Linux для смешанных сред в организациях.

  • Системные журналы: /var/log/ (syslog, auth.log, secure) для аудита доступа, sudo, сбоев и служб.
  • Пользователи и группы: /etc/passwd, /etc/shadow, /etc/group для просмотра учетных записей и привилегий.
  • Метаданные FS: время и атрибуты (иноды) для создания хронологий создания/изменения/удаления.
  • Сеть и процессы: ss/netstat, lsof, ps/top для подключений и активности в реальном времени.
  • История Shell: .bash_history и варианты, учитывая настройки HISTCONTROL/HISTTIMEFORMAT.
  • память: дампы с LiME и анализ с Volatility для изменчивых доказательств.
  • Файлы конфигурации: сервисы, cron и журналы пакетов как дополнительные источники.

Это сравнение помогает сохранить нить инцидента, который распространяется между системами, избегая пробелов в техническом повествовании.

Ландшафт артефактов в Windows показывает, что каждое действие оставляет следы: от 4625 в Security.evtx до .pf в Prefetch, проходя через LNK с серийными номерами USB, ключи сохранения в реестре или потребление сети в SRUM. правильное приобретение, корреляция между источниками и перекрестная проверка инструментов, можно реконструировать история с достаточной точностью для принятия технических и юридических решений, даже перед лицом злоумышленников, которые агрессивно заметают следы.