Belleği daha detaylı analiz etmeye çalışalım...
Belleği daha derinlemesine sadece süreçlere odaklanmadan analiz etmeye çalışırsak, başka ilginç bilgiler bulabiliriz.
memmap
Memmap komutu, belirli bir DTB (ya da bu eklentiyi boşta veya sistem işleminde kullanırsanız DTB çekirdeği olur) işlemi göz önüne alındığında, hangi sayfaların bellekte yerleşik olduğunu tam olarak gösterir. Size sayfanın sanal adresini, sayfanın karşılık gelen fiziksel ofsetini ve sayfanın boyutunu gösterir. Bu eklenti tarafından oluşturulan harita bilgileri, temel adres alanının get_available_addresses metodundan gelir.
2.1 itibariyle, yeni sütun DumpFileOffset, memmap çıktısını memdump eklentisi tarafından oluşturulan dump dosyasıyla ilişkilendirmenize yardımcı olur. Örneğin aşağıdaki çıktıya göre, sistem işleminin belleğindeki sanal adres 0x0000000000058000, win7_trial_64bit.raw dosyasının 0x00000000162ed000 ofsetinde bulunabilir. Sistem işlemenin adreslenebilir belleğini tek bir dosyaya çıkarmak için memdump kullandıktan sonra bu sayfası 0x8000 ofsetinde bulabilirsiniz.
memdump
Bir işlemdeki tüm bellek yerleşik sayfaları ayrı bir dosyaya ayıklamak için (ayrıntılar için memmape bakın), memdump komutunu kullanın.
Çıkış dizinini -D veya dump-dir=DIR sağlayın.
Memmap tartışmasında başladığımız gösteriyi sonuçlandırmak için, eşlenen ve çıkarılan sayfaların ilişkisiyle ilgili bir fikre sahip olmalıyız:
>>> PAGE_SIZE = 0x1000
>>> assert addrspace().read(0x0000000000058000, PAGE_SIZE) ==
... addrspace().base.read(0x00000000162ed000, PAGE_SIZE) ==
... open("dump/4.dmp", "rb").read()[0x8000:0x8000 + PAGE_SIZE]
>>>
procdump
Bir işlemin yürütülebilir dosyasını çöpe atmak için, procdump komutunu kullanın. İsteğe bağlı olarak, PE başlığını ayrıştırırken kullanılan belirli doğruluk testi denetimlerini atlamak için unsafe veya -u bayraklarını iletin. Bazı malwarelar, bellek boşaltma araçlarının başarısız olması için PE başlığındaki boyut alanlarını kasıtlı olarak taklit eder.
Sayfa hizalı olmayan PE bölümleri arasında boş alan eklemek için memory kullanın. memory olmadan, bölümler genişletilmeden önce diskteki dosyaya daha çok benzeyen bir dosya elde edersiniz.
vadinfo
vadinfo komutu, bir işlemin VAD nodeları hakkında genişletilmiş bilgileri görüntüler. Özellikle şunları gösterir:
Çekirdek belleğindeki MMVAD yapısının adresi
MMVAD yapısının ilgili olduğu işlem belleğindeki başlangıç ve bitiş sanal adresleri
VAD etiketi
VAD bayrakları, kontrol bayrakları, vb
Bellek eşlenen dosyanın adı (eğer bulunuyorsa)
Bellek koruma sabiti (izinler). Orijinal koruma ve şuanda ki koruma arasında bir fark olduğunu unutmayın. Orijinal koruma, flProtect parametresinden Virtualalloca türetilir. Örneğin, belleği PAGE_NOACCESS koruması ile rezerve edebilirsiniz (MEM_RESERVE). Daha sonra, işlemek (MEM_COMMIT) ve belirtmek için PAGE_READWRITE Virtualallocu tekrar arayabilirsiniz. Böylece, sadece burada PAGE_NOACCESS gördüğünüz için bölgedeki kodu okunmayacağı, yazılmayacağı veya çalıştırılamayacağı anlamına gelmez.
vadwalk
Bir işlemin vad nodelarını tablo formunda incelemek için, vadwalk komutunu kullanın.
vadtree
VAD nodelarını görsel bir ağaç formunda görüntülemek için, vadtree komutunu kullanın.
Dengeli ikili ağaç Graphviz biçiminde görüntülemek istiyorsanız, sadece output=dot output-file=graph.dot komutunu ekleyin. Sonra herhangi bir Graphviz uyumlu görüntüleyicide graph.dotu açabilirsiniz. Bu eklenti ayrıca yığınları, öbekleri, eşlenen dosyaları, DLLleri vb. içeren bölgelere göre çıktı renk kodlamasını da destekler. Omnigraffle kullanarak kısmi bir örnek aşağıda gösterilmiştir:
Renk Açıklamaları:
Kırmızı: Öbekler
Gri: DLLler
Yeşil: Yığınlar
Sarı: Haritalanmış Dosyalar
vaddump
Bir VAD node'u tarafından açıklanan sayfa aralığını ayıklamak için, vaddump komutu kullanın. Her VAD node'una ait sayfalar büyük bir dosya yığını yerine ayrı dosyalara yerleştirilmesi dışında memdump komutuna çok benzer. Aralıktaki herhangi bir sayfa bellekte yerleşik değilse, adres alanının zread() metodunu kullanarak 0larla doldururlar.
Dosyalar şu şekilde adlandırılır:
PhsicalOffset alanının bulunmasının nedeni, aynı ada sahip iki işlem arasında ayrım yapabilmek içindir.
evtlogs
evtlogs komutu binary olay günlüklerini bellekten ayrıştırır ve ayıklar. Binary Olay Günlükleri Windows XP ve 2003 makinelerinde bulunur, bu yüzden bu eklenti sadece bu mimariler üzerinde çalışır. Bu dosyalar services.exe işleminin VADinden çıkarılır, ayrıştırılır ve belirli yerlere atılır.
Ayrıca, harici araçlarla ayrıştırarak ham olay günlüklerini çöpe atmak için (--save-evt) gibi bir seçenekte vardır:
Ayrıştırılan çıktı, excel dosyalarına içe aktarmayı kolaylaştırmak için boru ile sınırlandırılmıştır ve mesajlar noktalı virgülle ayrılır:
Eğer verbose bayrağı kullanılıyorsa, SIDler de değerlendirilir ve varsayılan ham SID yerine ayrıştırılmış çıktıya yerleştirilir. Bu eylemi çalıştırmak uzun sürer çünkü eklenti, SID hizmetinin ve SID kullanıcısının her birini kayıt defteri girişlerinden hesaplamalıdır.
iehistory
Bu eklenti index.dat önbellek dosyaları IE geçmişi parçalarını kurtarır. Erişilen temel bağlantıları (FTP veya HTTP aracılığıyla), yinelendirilen bağlantıları (--REDR) ve silinmiş girişleri (--LEAK) bulabilir. Yalnızca Internet Explorer değil, wininet.dll kitaplığını yükleyen ve kullanan tüm işlemler için geçerlidir. Bu genellikle Widows Gezginini ve hatta malware yazılım örneklerini içerir.
Belleği daha derinlemesine sadece süreçlere odaklanmadan analiz etmeye çalışırsak, başka ilginç bilgiler bulabiliriz.
memmap
Memmap komutu, belirli bir DTB (ya da bu eklentiyi boşta veya sistem işleminde kullanırsanız DTB çekirdeği olur) işlemi göz önüne alındığında, hangi sayfaların bellekte yerleşik olduğunu tam olarak gösterir. Size sayfanın sanal adresini, sayfanın karşılık gelen fiziksel ofsetini ve sayfanın boyutunu gösterir. Bu eklenti tarafından oluşturulan harita bilgileri, temel adres alanının get_available_addresses metodundan gelir.
2.1 itibariyle, yeni sütun DumpFileOffset, memmap çıktısını memdump eklentisi tarafından oluşturulan dump dosyasıyla ilişkilendirmenize yardımcı olur. Örneğin aşağıdaki çıktıya göre, sistem işleminin belleğindeki sanal adres 0x0000000000058000, win7_trial_64bit.raw dosyasının 0x00000000162ed000 ofsetinde bulunabilir. Sistem işlemenin adreslenebilir belleğini tek bir dosyaya çıkarmak için memdump kullandıktan sonra bu sayfası 0x8000 ofsetinde bulabilirsiniz.
Kod:
$ vol.py -f ~/Desktop/win7_trial_64bit.raw --profile=Win7SP0x64 memmap -p 4
Volatility Foundation Volatility Framework 2.4
System pid: 4
Virtual Physical Size DumpFileOffset
------------------ ------------------ ------------------ ------------------
0x0000000000050000 0x0000000000cbc000 0x1000 0x0
0x0000000000051000 0x0000000015ec6000 0x1000 0x1000
0x0000000000052000 0x000000000f5e7000 0x1000 0x2000
0x0000000000053000 0x0000000005e28000 0x1000 0x3000
0x0000000000054000 0x0000000008b29000 0x1000 0x4000
0x0000000000055000 0x00000000155b8000 0x1000 0x5000
0x0000000000056000 0x000000000926e000 0x1000 0x6000
0x0000000000057000 0x0000000002dac000 0x1000 0x7000
0x0000000000058000 0x00000000162ed000 0x1000 0x8000
[snip]memdump
Bir işlemdeki tüm bellek yerleşik sayfaları ayrı bir dosyaya ayıklamak için (ayrıntılar için memmape bakın), memdump komutunu kullanın.
Çıkış dizinini -D veya dump-dir=DIR sağlayın.
Kod:
$ vol.py -f ~/Desktop/win7_trial_64bit.raw --profile=Win7SP0x64 memdump -p 4 -D dump/
Volatility Foundation Volatility Framework 2.4
************************************************************************
Writing System [ 4] to 4.dmp
Kod:
$ ls -alh dump/4.dmp
-rw-r--r-- 1 Michael staff 111M Jun 24 15:47 dump/4.dmpMemmap tartışmasında başladığımız gösteriyi sonuçlandırmak için, eşlenen ve çıkarılan sayfaların ilişkisiyle ilgili bir fikre sahip olmalıyız:
Kod:
$ vol.py -f ~/Desktop/win7_trial_64bit.raw --profile=Win7SP0x64 volshell
Volatility Foundation Volatility Framework 2.4
Current context: process System, pid=4, ppid=0 DTB=0x187000
Welcome to volshell Current memory image is:
file:///Users/Michael/Desktop/win7_trial_64bit.raw
To get help, type 'hh()'>>> assert addrspace().read(0x0000000000058000, PAGE_SIZE) ==
... addrspace().base.read(0x00000000162ed000, PAGE_SIZE) ==
... open("dump/4.dmp", "rb").read()[0x8000:0x8000 + PAGE_SIZE]
>>>
procdump
Bir işlemin yürütülebilir dosyasını çöpe atmak için, procdump komutunu kullanın. İsteğe bağlı olarak, PE başlığını ayrıştırırken kullanılan belirli doğruluk testi denetimlerini atlamak için unsafe veya -u bayraklarını iletin. Bazı malwarelar, bellek boşaltma araçlarının başarısız olması için PE başlığındaki boyut alanlarını kasıtlı olarak taklit eder.
Sayfa hizalı olmayan PE bölümleri arasında boş alan eklemek için memory kullanın. memory olmadan, bölümler genişletilmeden önce diskteki dosyaya daha çok benzeyen bir dosya elde edersiniz.
Kod:
$ vol.py -f win7_trial_64bit.raw --profile=Win7SP0x64 procdump -D dump/ -p 296
Volatility Foundation Volatility Framework 2.4
************************************************************************
Dumping csrss.exe, pid: 296 output: executable.296.exe
Kod:
$ file dump/executable.296.exe
dump/executable.296.exe: PE32+ executable for MS Windows (native) Mono/.Net assemblyvadinfo
vadinfo komutu, bir işlemin VAD nodeları hakkında genişletilmiş bilgileri görüntüler. Özellikle şunları gösterir:
Çekirdek belleğindeki MMVAD yapısının adresi
MMVAD yapısının ilgili olduğu işlem belleğindeki başlangıç ve bitiş sanal adresleri
VAD etiketi
VAD bayrakları, kontrol bayrakları, vb
Bellek eşlenen dosyanın adı (eğer bulunuyorsa)
Bellek koruma sabiti (izinler). Orijinal koruma ve şuanda ki koruma arasında bir fark olduğunu unutmayın. Orijinal koruma, flProtect parametresinden Virtualalloca türetilir. Örneğin, belleği PAGE_NOACCESS koruması ile rezerve edebilirsiniz (MEM_RESERVE). Daha sonra, işlemek (MEM_COMMIT) ve belirtmek için PAGE_READWRITE Virtualallocu tekrar arayabilirsiniz. Böylece, sadece burada PAGE_NOACCESS gördüğünüz için bölgedeki kodu okunmayacağı, yazılmayacağı veya çalıştırılamayacağı anlamına gelmez.
Kod:
$ vol.py -f ~/Desktop/win7_trial_64bit.raw --profile=Win7SP0x64 vadinfo -p 296
Volatility Foundation Volatility Framework 2.4
************************************************************************
Pid: 296
VAD node @ 0xfffffa8000c00620 Start 0x000000007f0e0000 End 0x000000007ffdffff Tag VadS
Flags: PrivateMemory: 1, Protection: 1
Protection: PAGE_READONLY
Vad Type: VadNone
[snip]
VAD node @ 0xfffffa8000c04ce0 Start 0x000007fefcd00000 End 0x000007fefcd10fff Tag Vad
Flags: CommitCharge: 2, Protection: 7, VadType: 2
Protection: PAGE_EXECUTE_WRITECOPY
Vad Type: VadImageMap
ControlArea [USER=9069]fffff[/USER]a8000c04d70 Segment fffff8a000c45c10
Dereference list: Flink 00000000, Blink 00000000
NumberOfSectionReferences: 0 NumberOfPfnReferences: 13
NumberOfMappedViews: 2 NumberOfUserReferences: 2
WaitingForDeletion Event: 00000000
Control Flags: Accessed: 1, File: 1, Image: 1
FileObject [USER=9069]fffff[/USER]a8000c074d0, Name: WindowsSystem32basesrv.dll
First prototype PTE: fffff8a000c45c58 Last contiguous PTE: fffffffffffffffc
Flags2: Inherit: 1vadwalk
Bir işlemin vad nodelarını tablo formunda incelemek için, vadwalk komutunu kullanın.
Kod:
$ vol.py -f ~/Desktop/win7_trial_64bit.raw --profile=Win7SP0x64 vadwalk -p 296
Volatility Foundation Volatility Framework 2.4
************************************************************************
Pid: 296
Address Parent Left Right Start End Tag
------------------ ------------------ ------------------ ------------------ ------------------ ------------------ ----
0xfffffa8000c00620 0x0000000000000000 0xfffffa8000deaa40 0xfffffa8000c043d0 0x000000007f0e0000 0x000000007ffdffff VadS
0xfffffa8000deaa40 0xfffffa8000c00620 0xfffffa8000bc4660 0xfffffa80011b8d80 0x0000000000ae0000 0x0000000000b1ffff VadS
0xfffffa8000bc4660 0xfffffa8000deaa40 0xfffffa8000c04260 0xfffffa8000c91010 0x00000000004d0000 0x0000000000650fff Vadm
0xfffffa8000c04260 0xfffffa8000bc4660 0xfffffa8000c82010 0xfffffa80012acce0 0x00000000002a0000 0x000000000039ffff VadS
0xfffffa8000c82010 0xfffffa8000c04260 0xfffffa8000cbce80 0xfffffa8000c00330 0x00000000001f0000 0x00000000001f0fff Vadm
0xfffffa8000cbce80 0xfffffa8000c82010 0xfffffa8000bc4790 0xfffffa8000d9bb80 0x0000000000180000 0x0000000000181fff Vad
0xfffffa8000bc4790 0xfffffa8000cbce80 0xfffffa8000c00380 0xfffffa8000e673a0 0x0000000000100000 0x0000000000166fff Vad
0xfffffa8000c00380 0xfffffa8000bc4790 0x0000000000000000 0x0000000000000000 0x0000000000000000 0x00000000000fffff VadS
[snip]vadtree
VAD nodelarını görsel bir ağaç formunda görüntülemek için, vadtree komutunu kullanın.
Kod:
$ vol.py -f ~/Desktop/win7_trial_64bit.raw --profile=Win7SP0x64 vadtree -p 296
Volatility Foundation Volatility Framework 2.4
************************************************************************
Pid: 296
0x000000007f0e0000 - 0x000000007ffdffff
0x0000000000ae0000 - 0x0000000000b1ffff
0x00000000004d0000 - 0x0000000000650fff
0x00000000002a0000 - 0x000000000039ffff
0x00000000001f0000 - 0x00000000001f0fff
0x0000000000180000 - 0x0000000000181fff
0x0000000000100000 - 0x0000000000166fff
0x0000000000000000 - 0x00000000000fffff
0x0000000000170000 - 0x0000000000170fff
0x00000000001a0000 - 0x00000000001a1fff
0x0000000000190000 - 0x0000000000190fff
0x00000000001b0000 - 0x00000000001effff
0x0000000000240000 - 0x000000000024ffff
0x0000000000210000 - 0x0000000000216fff
0x0000000000200000 - 0x000000000020ffff
[snip]Dengeli ikili ağaç Graphviz biçiminde görüntülemek istiyorsanız, sadece output=dot output-file=graph.dot komutunu ekleyin. Sonra herhangi bir Graphviz uyumlu görüntüleyicide graph.dotu açabilirsiniz. Bu eklenti ayrıca yığınları, öbekleri, eşlenen dosyaları, DLLleri vb. içeren bölgelere göre çıktı renk kodlamasını da destekler. Omnigraffle kullanarak kısmi bir örnek aşağıda gösterilmiştir:
Renk Açıklamaları:
Kırmızı: Öbekler
Gri: DLLler
Yeşil: Yığınlar
Sarı: Haritalanmış Dosyalar
vaddump
Bir VAD node'u tarafından açıklanan sayfa aralığını ayıklamak için, vaddump komutu kullanın. Her VAD node'una ait sayfalar büyük bir dosya yığını yerine ayrı dosyalara yerleştirilmesi dışında memdump komutuna çok benzer. Aralıktaki herhangi bir sayfa bellekte yerleşik değilse, adres alanının zread() metodunu kullanarak 0larla doldururlar.
Kod:
$ vol.py -f ~/Desktop/win7_trial_64bit.raw --profile=Win7SP0x64 vaddump -D vads
Volatility Foundation Volatility Framework 2.4
Pid Process Start End Result
---------- -------------------- ------------------ ------------------ ------
4 System 0x0000000076d40000 0x0000000076eeafff vads/System.17fef9e0.0x0000000076d40000-0x0000000076eeafff.dmp
4 System 0x0000000000040000 0x0000000000040fff vads/System.17fef9e0.0x0000000000040000-0x0000000000040fff.dmp
4 System 0x0000000000010000 0x0000000000032fff vads/System.17fef9e0.0x0000000000010000-0x0000000000032fff.dmp
4 System 0x000000007ffe0000 0x000000007ffeffff vads/System.17fef9e0.0x000000007ffe0000-0x000000007ffeffff.dmp
4 System 0x0000000076f20000 0x000000007709ffff vads/System.17fef9e0.0x0000000076f20000-0x000000007709ffff.dmp
208 smss.exe 0x000000007efe0000 0x000000007ffdffff vads/smss.exe.176e97f0.0x000000007efe0000-0x000000007ffdffff.dmp
208 smss.exe 0x00000000003d0000 0x00000000004cffff vads/smss.exe.176e97f0.0x00000000003d0000-0x00000000004cffff.dmp
208 smss.exe 0x0000000000100000 0x0000000000100fff vads/smss.exe.176e97f0.0x0000000000100000-0x0000000000100fff.dmp
208 smss.exe 0x0000000000000000 0x00000000000fffff vads/smss.exe.176e97f0.0x0000000000000000-0x00000000000fffff.dmp
208 smss.exe 0x0000000000190000 0x000000000020ffff vads/smss.exe.176e97f0.0x0000000000190000-0x000000000020ffff.dmp
208 smss.exe 0x0000000047a90000 0x0000000047aaffff vads/smss.exe.176e97f0.0x0000000047a90000-0x0000000047aaffff.dmp
208 smss.exe 0x00000000005e0000 0x000000000065ffff vads/smss.exe.176e97f0.0x00000000005e0000-0x000000000065ffff.dmp
[snip]
Kod:
ls -al vads/
total 123720
drwxr-xr-x 69 michaelligh staff 2346 Apr 6 13:12 .
drwxr-xr-x 37 michaelligh staff 1258 Apr 6 13:11 ..
-rw-r--r-- 1 michaelligh staff 143360 Apr 6 13:12 System.17fef9e0.0x0000000000010000-0x0000000000032fff.dmp
-rw-r--r-- 1 michaelligh staff 4096 Apr 6 13:12 System.17fef9e0.0x0000000000040000-0x0000000000040fff.dmp
-rw-r--r-- 1 michaelligh staff 1748992 Apr 6 13:12 System.17fef9e0.0x0000000076d40000-0x0000000076eeafff.dmp
-rw-r--r-- 1 michaelligh staff 1572864 Apr 6 13:12 System.17fef9e0.0x0000000076f20000-0x000000007709ffff.dmp
-rw-r--r-- 1 michaelligh staff 65536 Apr 6 13:12 System.17fef9e0.0x000000007ffe0000-0x000000007ffeffff.dmp
-rw-r--r-- 1 michaelligh staff 1048576 Apr 6 13:12 csrss.exe.176006c0.0x0000000000000000-0x00000000000fffff.dmp
-rw-r--r-- 1 michaelligh staff 421888 Apr 6 13:12 csrss.exe.176006c0.0x0000000000100000-0x0000000000166fff.dmp
-rw-r--r-- 1 michaelligh staff 4096 Apr 6 13:12 csrss.exe.176006c0.0x0000000000170000-0x0000000000170fff.dmp
-rw-r--r-- 1 michaelligh staff 8192 Apr 6 13:12 csrss.exe.176006c0.0x0000000000180000-0x0000000000181fff.dmp
[snip]Dosyalar şu şekilde adlandırılır:
Kod:
ProcessName.PhysicalOffset.StartingVPN.EndingVPN.dmpPhsicalOffset alanının bulunmasının nedeni, aynı ada sahip iki işlem arasında ayrım yapabilmek içindir.
evtlogs
evtlogs komutu binary olay günlüklerini bellekten ayrıştırır ve ayıklar. Binary Olay Günlükleri Windows XP ve 2003 makinelerinde bulunur, bu yüzden bu eklenti sadece bu mimariler üzerinde çalışır. Bu dosyalar services.exe işleminin VADinden çıkarılır, ayrıştırılır ve belirli yerlere atılır.
Kod:
$ vol.py -f WinXPSP1x64.vmem --profile=WinXPSP2x64 evtlogs -D output
Volatility Foundation Volatility Framework 2.4
Parsed data sent to appevent.txt
Parsed data sent to secevent.txt
Parsed data sent to sysevent.txtAyrıca, harici araçlarla ayrıştırarak ham olay günlüklerini çöpe atmak için (--save-evt) gibi bir seçenekte vardır:
Kod:
$ vol.py -f WinXPSP1x64.vmem --profile=WinXPSP2x64 evtlogs
--save-evt -D output
Volatility Foundation Volatility Framework 2.4
Saved raw .evt file to appevent.evt
Parsed data sent to appevent.txt
Saved raw .evt file to secevent.evt
Parsed data sent to secevent.txt
Saved raw .evt file to sysevent.evt
Parsed data sent to sysevent.txtAyrıştırılan çıktı, excel dosyalarına içe aktarmayı kolaylaştırmak için boru ile sınırlandırılmıştır ve mesajlar noktalı virgülle ayrılır:
Kod:
$ cat output/secevent.txt
Kod:
2012-01-17 12:01:27|secevent.evt|MACHINENAME|S-1-5-18 (Local System)|Security|612|Success|-;-;+;-;-;-;-;-;-;-;-;-;-;-;-;-;+;-;MACHINENAME$;;(0x0,0x3E7)
2012-01-17 17:06:18|secevent.evt|MACHINENAME|S-1-5-19 (NT Authority)|Security|528|Success|LOCAL SERVICE;NT AUTHORITY;(0x0,0x3E5);5;Advapi;Negotiate;;-;MACHINENAME$(0x0,0x3E7);252;-;-;-
2012-01-17 17:06:18|secevent.evt|MACHINENAME|S-1-5-19 (NT Authority)|Security|576|Success|LOCAL SERVICE;NT AUTHORITY;(0x0,0x3E5);SeAuditPrivilege SeAssignPrimaryTokenPrivilege SeImpersonatePrivilege
2012-01-17 17:06:19|secevent.evt|MACHINENAME|S-1-5-20 (NT Authority)|Security|528|Success|NETWORK SERVICE;NT AUTHORITY;(0x0,0x3E4);5;Advapi;Negotiate;;-;MACHINENAME$(0x0,0x3E7);252;-;-;-
2012-01-17 17:06:19|secevent.evt|MACHINENAME|S-1-5-20 (NT Authority)|Security|576|Success|NETWORK SERVICE;NTAUTHORITY;(0x0,0x3E4);SeAuditPrivilege SeAssignPrimaryTokenPrivilege SeImpersonatePrivilegeEğer verbose bayrağı kullanılıyorsa, SIDler de değerlendirilir ve varsayılan ham SID yerine ayrıştırılmış çıktıya yerleştirilir. Bu eylemi çalıştırmak uzun sürer çünkü eklenti, SID hizmetinin ve SID kullanıcısının her birini kayıt defteri girişlerinden hesaplamalıdır.
iehistory
Bu eklenti index.dat önbellek dosyaları IE geçmişi parçalarını kurtarır. Erişilen temel bağlantıları (FTP veya HTTP aracılığıyla), yinelendirilen bağlantıları (--REDR) ve silinmiş girişleri (--LEAK) bulabilir. Yalnızca Internet Explorer değil, wininet.dll kitaplığını yükleyen ve kullanan tüm işlemler için geçerlidir. Bu genellikle Widows Gezginini ve hatta malware yazılım örneklerini içerir.
Son düzenleme:
