RDP forensic event logs - RDP в журналах событий ОС Windows 10 (статья в стадии написания не окончена)
Журналы событий обеспечивают контрольный журнал, который записывает пользовательские события и действия на компьютере и являются потенциальным источником доказательств в цифровой криминалистике исследования.
В этой статье мы рассмотрим процесс экспертизы событий event logs в Windows 10 Версия 1809 (Сборка ОС 17763.195), 64 и 32 разрядных операционных систем, относящейся к RDP (Remote Desktop Protocol) – специальный протокол, разработанный компанией Microsoft для удаленного управления ОС Windows (протокол удалённого рабочего стола).
Версии Windows начиная с Vista включают ряд новых событий, которые не регистрируются системами Windows XP. Выпуски Windows Server содержат большее количество и типы событий.
К примеру в Windows XP и Server 2003 было 9 категорий, а начиная с Windows Vista их более 50.
Таким образом, точная идентификация версии операционной системы Windows должна быть очень тщательно продумана при разработке цифрового процесса компьютерно-технической экспертизы, основанного на журналах событий (event logs).
Расположение журналов событий Windows по умолчанию:
Windows 2000/Server2003/Windows XP:
Windows Vista/7/Server2008/10/Server2012/Server2016:
Расположение журналов может быть изменено пользователем, изменением значения ключа реестра "File" в "HKEY_LOCAL_MACHINE" на локальном компьютере:
Application Events (События приложения):
Hardware Events (Аппаратные события):
Security Events (События безопасности):
System Events (Системные события):
Когда используется пользовательский путь, ключ создается в месте реестра:
(например [logname] это: Microsoft-Windows-TerminalServices-LocalSessionManager/Admin)
Полезные события для криминалистического анализа
Коды входа в систему.
Одно из важных сведений, предоставляемых событием «Успешный/Неудачный вход в систему», является то, как пользователь/процесс пытался войти в систему (Тип входа в систему), но Windows отображает эту информацию в виде числа.
RDP Successful Logon - RDP Успешный вход
Рассмотрим второе, место расположения Event ID 4624
на screen мы видим "Тип входа" выше есть "Список типа входа и их описание", так же видим host и IP
Рассмотрим третье и четвертое, место расположения Event ID 21 и ID 22
в данном конкретном примере мы видим что пользователь осуществил вход в систему в 13:07, а наше удаленное подключение было в 17:44, но обратите внимание чуть выше в 17:44 есть код event ID 25
и снова мы наблюдаем IP адрес подключившегося, для сравнения в 17:47 был осуществлен локальный вход в систему, рассмотрим его на screen ниже
Мы явно видим что вход в систему локальный - Адрес сети источника: ЛОКАЛЬНЫЕ
Осмотр событий ПК c которого осуществилось подключение мы подключились c: host physical IP 192.168.10.146
В коде события 5379 изменяются значения "TargetName" и "Type"
Event ID 4648Попытка входа в систему с использованием явных учетных данных
SeTcbPrivilege - действует как часть операционной системы
SeBackupPrivilege - Резервное копирование файлов и каталогов
SeCreateTokenPrivilege - создает объект токена
SeDebugPrivilege - отладка программ
SeEnableDelegationPrivilege - позволяет доверять учетные записи компьютеров и пользователей для делегирования.
SeAuditPrivilege - Генерация аудита безопасности
SeImpersonatePrivilege - выдавать себя за клиента после аутентификации
SeLoadDriverPrivilege - загрузка и выгрузка драйверов устройств
SeSecurityPrivilege - Управление журналом аудита и безопасности
SeSystemEnvironmentPrivilege - Изменить значения среды прошивки
SeAssignPrimaryTokenPrivilege - заменяет токен уровня процесса
SeRestorePrivilege - Восстановление файлов и каталогов,
SeTakeOwnershipPrivilege - стать владельцем файлов или других объектов.
Журналы событий обеспечивают контрольный журнал, который записывает пользовательские события и действия на компьютере и являются потенциальным источником доказательств в цифровой криминалистике исследования.
В этой статье мы рассмотрим процесс экспертизы событий event logs в Windows 10 Версия 1809 (Сборка ОС 17763.195), 64 и 32 разрядных операционных систем, относящейся к RDP (Remote Desktop Protocol) – специальный протокол, разработанный компанией Microsoft для удаленного управления ОС Windows (протокол удалённого рабочего стола).
Версии Windows начиная с Vista включают ряд новых событий, которые не регистрируются системами Windows XP. Выпуски Windows Server содержат большее количество и типы событий.
журналы событий Windows получили расширение *.EVTX. Этот новый формат, называемый форматом Windows XML Event Log (EVTX), заменяет формат EVT, используемый в Windows XP. Помимо журналов событий начиная с Vista, существуют журналы приложений и служб, которые записывают события о конкретном компоненте или приложении, а не о системе. В системе Windows 7/2008 можно найти много файлов журнала событий в зависимости от ролей, выполняемых системой. Здесь Вы можете найти журналы событий приложений. Например, если в системе есть Symantec Endpoint, у Вас будет файл «Symantec Endpoint Protection Client.evtx». Различные категории описаны
Ссылка скрыта от гостей
C:\Windows\system32>auditpol /get /category:*
Расположение журналов событий Windows по умолчанию:
Windows 2000/Server2003/Windows XP:
\%SystemRoot%\System32\Config\*.evtWindows Vista/7/Server2008/10/Server2012/Server2016:
\%SystemRoot%\System32\winevt\Logs\*.evtx
Application Events (События приложения):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\ApplicationHardware Events (Аппаратные события):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\HardwareEventsSecurity Events (События безопасности):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\SecuritySystem Events (Системные события):
Компьютер\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog\SystemКогда используется пользовательский путь, ключ создается в месте реестра:
Компьютер\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Channels\[logname](например [logname] это: Microsoft-Windows-TerminalServices-LocalSessionManager/Admin)
Одно из важных сведений, предоставляемых событием «Успешный/Неудачный вход в систему», является то, как пользователь/процесс пытался войти в систему (Тип входа в систему), но Windows отображает эту информацию в виде числа.
Рассмотрим практический пример с ПК physical IP 192.168.10.146 было подключение mstsc.exe к ПК distrusting IP 192.168.10.241 с учетной записью suspect
Осмотр событий ПК к которому мы подключились: host distrusting IP 192.168.10.241
Рассмотрим первое, место расположения Event ID 1149
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx это у нас Network Connection
Рассмотрим второе, место расположения Event ID 4624
%SystemRoot%\System32\Winevt\Logs\Security.evtx это у нас Authentication
Рассмотрим третье и четвертое, место расположения Event ID 21 и ID 22
%SystemRoot%\System32\Winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx это у нас Logon
Осмотр событий ПК c которого осуществилось подключение мы подключились c: host physical IP 192.168.10.146
Event ID 5379
%SystemRoot%\System32\Winevt\Logs\Security.evtx это у нас запротоколирована по отдельности каждая цифра и символ введенные в GUI mstsc.exe в поле "Компьютер" с 17:43:31 по 17:43:56
Event ID 4648
Event ID 4624
Это событие генерируется при создании сеанса входа (на конечном компьютере). Он генерируется на компьютере, к которому был получен доступ, где был создан сеанс.
Event ID 4672
Это событие генерируется для новых учетных записей, если для нового сеанса входа назначены какие-либо из следующих конфиденциальных привилегий
SeBackupPrivilege - Резервное копирование файлов и каталогов
SeCreateTokenPrivilege - создает объект токена
SeDebugPrivilege - отладка программ
SeEnableDelegationPrivilege - позволяет доверять учетные записи компьютеров и пользователей для делегирования.
SeAuditPrivilege - Генерация аудита безопасности
SeImpersonatePrivilege - выдавать себя за клиента после аутентификации
SeLoadDriverPrivilege - загрузка и выгрузка драйверов устройств
SeSecurityPrivilege - Управление журналом аудита и безопасности
SeSystemEnvironmentPrivilege - Изменить значения среды прошивки
SeAssignPrimaryTokenPrivilege - заменяет токен уровня процесса
SeRestorePrivilege - Восстановление файлов и каталогов,
SeTakeOwnershipPrivilege - стать владельцем файлов или других объектов.
P:S (статья в стадии написания не окончена)
Данная статья будет дополняться и получать новые примеры to by continued...
Последнее редактирование:
