Windows Forensische Artefacten Cheatsheet — DFIR Referentie

Tijdens een actief onderzoek telt elke seconde. Weten welke artefacten u moet verzamelen en waar u ze kunt vinden, bepaalt het verschil tussen het oppikken van de sporen van de aanvaller en het verliezen ervan. Deze cheatsheet behandelt de essentiële Windows forensische artefacten gerangschikt per categorie, met locaties, tools en forensische waarde per item.

Voor diepgaandere informatie over afzonderlijke artefacten, zie de DFIR Assist artefactenbibliotheek, die gedetailleerde analysehandleidingen biedt met voorbeeldoutput en veelgebruikte aanvalstechnieken per artefacttype.

Event Logs

Windows Event Logs vormen de basis van de meeste onderzoeken. Ze leggen authenticatiegebeurtenissen, procesopstart, service-installaties en netwerkactiviteit vast. De drie meest kritieke logbronnen voor DFIR zijn Security, Sysmon en PowerShell.

Security Event Log

Locatie: %SystemRoot%\System32\winevt\Logs\Security.evtx

Het Security-logboek legt authenticatie- en autorisatiegebeurtenissen vast. Belangrijke Event IDs om op te focussen tijdens een onderzoek:

• 4624 — Geslaagde aanmelding. Controleer het veld Logon Type: Type 3 (netwerk), Type 10 (RDP) en Type 2 (interactief) vertellen elk een ander verhaal
• 4625 — Mislukte aanmelding. Grote aantallen wijzen op brute-force of password spraying-aanvallen
• 4672 — Speciale rechten toegewezen. Houdt bij wanneer administratieve tokens worden verleend
• 4720 / 4732 — Account aangemaakt en wijzigingen in groepslidmaatschap. Aanvallers maken regelmatig backdoor-accounts aan
• 4688 — Procesopstart (wanneer auditbeleid is ingeschakeld). Toont de volledige commandoregel van elk gestart proces

Sysmon Event Log

Locatie: %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx

Sysmon biedt diepgaand inzicht in proces- en netwerkactiviteit. Als het is geïnstalleerd, is het vaak de meest waardevolle logbron op het systeem:

• Event 1 — Procesopstart met volledige commandoregel, bovenliggend proces en bestandshashes
• Event 3 — Netwerkverbindingen met bron/doel-IP en poort
• Event 7 — Image geladen (DLL). Kritiek voor het detecteren van DLL sideloading en injectie
• Event 8 — CreateRemoteThread. Een sterke indicator van procesinjectie
• Event 11 — Bestand aangemaakt. Houdt bij wanneer bestanden naar schijf worden geschreven
• Event 13 — Registry-waarde ingesteld. Detecteert persistence mechanismen in realtime

PowerShell-logboeken

Locatie: %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx

PowerShell is het meest misbruikte living-off-the-land-binaire bestand in moderne aanvallen. Script Block Logging (Event 4104) is het meest waardevolle PowerShell-artefact, omdat het de volledige inhoud vastlegt van elk uitgevoerd scriptblok — zelfs wanneer de aanvaller codering of obfuscatie gebruikt.

• Event 4104 — Script Block Logging. Volledige, gedeobfusceerde scriptinhoud
• Event 4103 — Module Logging. Legt details van pipeline-uitvoering vast
• Event 400/403 — Engine start/stop (legacy). Geeft PowerShell-sessieactiviteit aan

Registry-artefacten

Het Windows Registry is een goudmijn voor forensische onderzoekers. Het slaat programma-uitvoeringsgeschiedenis, gebruikersactiviteit, netwerkverbindingen en persistence mechanismen op. Belangrijke registerlocaties om te onderzoeken:

UserAssist

Locatie: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

Registreert GUI-gebaseerde programma-uitvoering met tijdstempels en uitvoeraantallen. Waarden zijn ROT13-gecodeerd maar triviaal te decoderen. UserAssist onthult welke programma's gebruikers daadwerkelijk hebben gestart via de Explorer-shell, wat het waardevol maakt voor het opstellen van een tijdlijn van gebruikersactiviteit.

ShimCache (AppCompatCache)

Locatie: SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

Houdt uitvoerbare bestanden bij die zijn uitgevoerd of aanwezig waren op het systeem. ShimCache slaat bestandspad, -grootte en tijdstempel van laatste wijziging op. Het is een van de meest betrouwbare indicatoren dat een uitvoerbaar bestand aanwezig was op het systeem, zelfs als het bestand inmiddels is verwijderd.

Amcache

Locatie: C:\Windows\appcompat\Programs\Amcache.hve

Slaat gedetailleerde informatie op over uitgevoerde programma's, waaronder volledig pad, SHA1-hash, uitgever en tijdstempel van eerste uitvoering. Amcache is bijzonder waardevol omdat het bestandshashes registreert, zodat u kunt controleren of een verdacht binair bestand overeenkomt met bekende malwaresamples.

Run / RunOnce-sleutels

Locaties:

• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run
• SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Het klassieke persistence mechanisme. Vermeldingen in deze sleutels worden automatisch uitgevoerd bij het aanmelden van een gebruiker (NTUSER) of het opstarten van het systeem (SOFTWARE). Aanvallers gebruiken deze sleutels regelmatig voor persistentie. Vergelijk vermeldingen altijd met bekende goede basislijnen.

Bestandssysteemartefacten

Het NTFS-bestandssysteem slaat metagegevens op die blijven bestaan nadat bestanden zijn verwijderd. Deze artefacten zijn cruciaal voor tijdlijnanalyse en het aantonen dat bestanden aanwezig waren op het systeem.

Prefetch

Locatie: C:\Windows\Prefetch\*.pf

Windows maakt Prefetch-bestanden aan voor uitvoerbare bestanden om volgende opstarttijden te versnellen. Elk .pf-bestand registreert de naam van het uitvoerbare bestand, het uitvoeringsaantal, de laatste acht uitvoeringstijdstempels en bestanden/mappen die zijn benaderd tijdens de eerste 10 seconden van de uitvoering. Prefetch is standaard uitgeschakeld op SSD's in sommige Windows-configuraties, maar blijft een van de meest waardevolle uitvoeringsartefacten wanneer het aanwezig is.

$MFT (Master File Table)

Locatie: \\.\C:\$MFT

De MFT is de masterindex van het NTFS-bestandssysteem. Elk bestand en elke map op het volume heeft een MFT-vermelding met aanmaak-, wijzigings-, toegangs- en vermelding-gewijzigde tijdstempels (MACE). De MFT behoudt vermeldingen voor verwijderde bestanden totdat de ruimte opnieuw wordt gebruikt, waardoor het onschatbaar is voor het herstellen van bewijs van bestanden die aanvallers hebben geprobeerd te verwijderen.

USN Journal ($UsnJrnl)

Locatie: \\.\C:\$Extend\$UsnJrnl:$J

Het USN (Update Sequence Number) Journal registreert elke wijziging die is aangebracht in bestanden en mappen op het volume. Het legt bestandsaanmaak, -verwijdering, hernoeming, data-overschrijving en attribuutwijzigingen vast. Het journaal is circulair en kan behoorlijk groot worden, wat een gedetailleerde tijdlijn van bestandssysteemactiviteit biedt over een periode van dagen of weken.

$I30 (Directoryindex)

NTFS-directoryindexvermeldingen kunnen verwijzingen bevatten naar verwijderde bestanden die niet meer in directoryoverzichten verschijnen. Het parsen van $I30-slackruimte kan bestandsnamen en tijdstempels onthullen van bestanden die aanwezig waren in een map voordat ze werden verwijderd — een techniek die regelmatig wordt gebruikt om bestanden te ontdekken die aanvallers hebben neergezet en daarna verwijderd.

Aanvullende Artefacten om te Verzamelen

Naast de bovenstaande kerncategorieën verdienen enkele andere artefacten aandacht tijdens een grondig onderzoek:

• Scheduled Tasks (C:\Windows\System32\Tasks\) — Een veelgebruikt persistence mechanisme. Controleer op XML-taakbestanden met verdachte uitvoeringspaden
• WMI Persistence (OBJECTS.DATA) — WMI-event subscriptions kunnen code uitvoeren op triggers zoals systeemopstart. Parseer met tools zoals PyWMIPersistenceFinder
• Browsergeschiedenis — SQLite-databases in gebruikersprofielmappen. Onthult download-URL's, zoekopdrachten en tijdlijn van webactiviteit
• Windows Timeline (ActivitiesCache.db) — Registreert applicatiegebruik, het openen van bestanden en surfen op het web op verschillende apparaten
• SRUM (C:\Windows\System32\sru\SRUDB.dat) — System Resource Usage Monitor houdt per applicatie netwerkgebruik, CPU-tijd en energieverbruik bij over 30+ dagen

Voor gedetailleerde analysehandleidingen per artefact, inclusief voorbeeldtooluitvoer en detectietechnieken, verkennen de DFIR Assist-kennisbank.