前言

当我们拿下一台windows主机权限的时候之后,我们第一步需要全面了解主机的信息,而文件执行记录也是一个非常重要的点,下面总结常见文件执行记录的位置、以及单条清除方法

从日志中获取

Audit Process Creation (592/4688)

在启用了"审核进程创建"时记录4688的情况下(系统默认是关闭的,需要手动开启),Windows 7Windows Server 2008及以上版本,会在每次创建一个进程时会把事件以Event ID4688记录到windows安全日志中

Windows XP/2003Event ID592

开启:Edit Default Domain Policy -> Policy location: Computer Configuration -> Policies -> Windows Settings -> Security Settings -> Advanced Audit Configuration -> Detailed Tracking

策略名称: Audit Process Creation

查看ID为4688的安全事件:

命令行获取:

wevtutil qe security /rd:true /f:text /q:"Event[System[(EventID=4688)]]"

清除方法:可以参考三好学生师傅这篇文章

Program Inventory Event Log

Program Inventorywin7及以上存在,主要用于记录软件活动摘要、安装的程序、安装的Internet Explorer加载项、更新的应用程序、已删除的应用程序

文件夹中的位置:C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Inventory.evtx,如图

在Windows事件查看器的位置:Applications and Services Logs\Microsoft\Application-Experience\Program-Inventory,如图

日志获取:

wevtutil qe /f:text Microsoft-Windows-Application-Experience/Program-Inventory

Envent IDs:

  1. 800 (summary of software activities)
  2. 900 & 901 (new Internet Explorer add-on)
  3. 903 & 904 (new application installation)
  4. 905 (updated application)
  5. 907 & 908 (removed application)

清除方法:可以参考三好学生师傅这篇文章

Program-Telemetry Event Log

win7及以上存在,在应用程序启动时为应用程序处理应用程序兼容性缓存请求

文件夹中的位置:C:\Windows\System32\winevt\Logs\Microsoft-Windows-Application-Experience%4Program-Telemetry.evtx

在Windows事件查看器的位置:Applications and Services Logs\Microsoft\Application-Experience\Program-Telemetry,如图

日志获取:

wevtutil qe /f:text Microsoft-Windows-Application-Experience/Program-Telemetry

Event IDs:500/505

清除方法:可以参考三好学生师傅这篇文章

从注册表中获取

ShimCache (AppCompatCache)

用来识别应用程序兼容性问题。缓存数据跟踪文件路径、大小、上次修改时间和是否被执行(取决于操作系统),Windows XP的ShimCache被限制为96条记录,此后所有版本最多保留1024条记录。

:虽然记录在ShimCache中的存在但是并不能100%证明文件是被执行过的,但它确实显示了与文件交互的窗口

注册表位置:

:数据加密,重启之后更新

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

解析工具(C#):

https://github.com/EricZimmerman/AppCompatCacheParser/

例子
以csv格式保存的指定路径

AppCompatCacheParser.exe --csv .

按上次修改时间排序

AppCompatCacheParser.exe --csv . -t

如果我们想离线分析,我们可以用这个项目:https://github.com/mandiant/ShimCacheParser

导出注册表

reg export "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache" ShimCache.reg

解析

python ShimCacheParser.py -o test.csv -r ShimCache.reg -t

结果

清除方法:

  1. 导出ShimCache
    reg export "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache" ShimCache.reg
  2. 重启之后(只能重启之后ShimCache才会更新,注销不行),导入注册表将重启之后的覆盖掉
    reg import ShimCache.reg

UserAssist

跟踪在资源管理器中打开的可执行文件和完整路径,其中UserAssist保存了windows执行的程序的运行次数和上次执行日期和时间。

注册表位置:

:记录实时更新,数据rot-13加密

当前用户:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

所有用户:
HKEY_USERS\<sid>\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist
`

解析工具:https://www.nirsoft.net/utils/userassist_view.html

图形化界面

命令行使用

UserAssistView.exe  /stext out.txt //保存文本格式
UserAssistView.exe  /shtml out.txt //保存html格式
UserAssistView.exe  /sxml out.txt  //保存xml格式
点击收藏 | 4 关注 | 3
  • 动动手指,沙发就是你的了!
登录 后跟帖