Tijdens een actief onderzoek telt elke seconde. Weten welke artefacten u moet verzamelen en waar u ze kunt vinden, bepaalt het verschil tussen het oppikken van de sporen van de aanvaller en het verliezen ervan. Deze cheatsheet behandelt de essentiële Windows forensische artefacten gerangschikt per categorie, met locaties, tools en forensische waarde per item.

Voor diepgaandere informatie over afzonderlijke artefacten, zie de DFIR Assist artefactenbibliotheek, die gedetailleerde analysehandleidingen biedt met voorbeeldoutput en veelgebruikte aanvalstechnieken per artefacttype.

Event Logs

Windows Event Logs vormen de basis van de meeste onderzoeken. Ze leggen authenticatiegebeurtenissen, procesopstart, service-installaties en netwerkactiviteit vast. De drie meest kritieke logbronnen voor DFIR zijn Security, Sysmon en PowerShell.

Security Event Log

Locatie: %SystemRoot%\System32\winevt\Logs\Security.evtx

Het Security-logboek legt authenticatie- en autorisatiegebeurtenissen vast. Belangrijke Event IDs om op te focussen tijdens een onderzoek:

Sysmon Event Log

Locatie: %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-Sysmon%4Operational.evtx

Sysmon biedt diepgaand inzicht in proces- en netwerkactiviteit. Als het is geïnstalleerd, is het vaak de meest waardevolle logbron op het systeem:

PowerShell-logboeken

Locatie: %SystemRoot%\System32\winevt\Logs\Microsoft-Windows-PowerShell%4Operational.evtx

PowerShell is het meest misbruikte living-off-the-land-binaire bestand in moderne aanvallen. Script Block Logging (Event 4104) is het meest waardevolle PowerShell-artefact, omdat het de volledige inhoud vastlegt van elk uitgevoerd scriptblok — zelfs wanneer de aanvaller codering of obfuscatie gebruikt.

Registry-artefacten

Het Windows Registry is een goudmijn voor forensische onderzoekers. Het slaat programma-uitvoeringsgeschiedenis, gebruikersactiviteit, netwerkverbindingen en persistence mechanismen op. Belangrijke registerlocaties om te onderzoeken:

UserAssist

Locatie: NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\UserAssist

Registreert GUI-gebaseerde programma-uitvoering met tijdstempels en uitvoeraantallen. Waarden zijn ROT13-gecodeerd maar triviaal te decoderen. UserAssist onthult welke programma's gebruikers daadwerkelijk hebben gestart via de Explorer-shell, wat het waardevol maakt voor het opstellen van een tijdlijn van gebruikersactiviteit.

ShimCache (AppCompatCache)

Locatie: SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache

Houdt uitvoerbare bestanden bij die zijn uitgevoerd of aanwezig waren op het systeem. ShimCache slaat bestandspad, -grootte en tijdstempel van laatste wijziging op. Het is een van de meest betrouwbare indicatoren dat een uitvoerbaar bestand aanwezig was op het systeem, zelfs als het bestand inmiddels is verwijderd.

Amcache

Locatie: C:\Windows\appcompat\Programs\Amcache.hve

Slaat gedetailleerde informatie op over uitgevoerde programma's, waaronder volledig pad, SHA1-hash, uitgever en tijdstempel van eerste uitvoering. Amcache is bijzonder waardevol omdat het bestandshashes registreert, zodat u kunt controleren of een verdacht binair bestand overeenkomt met bekende malwaresamples.

Run / RunOnce-sleutels

Locaties:

Het klassieke persistence mechanisme. Vermeldingen in deze sleutels worden automatisch uitgevoerd bij het aanmelden van een gebruiker (NTUSER) of het opstarten van het systeem (SOFTWARE). Aanvallers gebruiken deze sleutels regelmatig voor persistentie. Vergelijk vermeldingen altijd met bekende goede basislijnen.

Bestandssysteemartefacten

Het NTFS-bestandssysteem slaat metagegevens op die blijven bestaan nadat bestanden zijn verwijderd. Deze artefacten zijn cruciaal voor tijdlijnanalyse en het aantonen dat bestanden aanwezig waren op het systeem.

Prefetch

Locatie: C:\Windows\Prefetch\*.pf

Windows maakt Prefetch-bestanden aan voor uitvoerbare bestanden om volgende opstarttijden te versnellen. Elk .pf-bestand registreert de naam van het uitvoerbare bestand, het uitvoeringsaantal, de laatste acht uitvoeringstijdstempels en bestanden/mappen die zijn benaderd tijdens de eerste 10 seconden van de uitvoering. Prefetch is standaard uitgeschakeld op SSD's in sommige Windows-configuraties, maar blijft een van de meest waardevolle uitvoeringsartefacten wanneer het aanwezig is.

$MFT (Master File Table)

Locatie: \\.\C:\$MFT

De MFT is de masterindex van het NTFS-bestandssysteem. Elk bestand en elke map op het volume heeft een MFT-vermelding met aanmaak-, wijzigings-, toegangs- en vermelding-gewijzigde tijdstempels (MACE). De MFT behoudt vermeldingen voor verwijderde bestanden totdat de ruimte opnieuw wordt gebruikt, waardoor het onschatbaar is voor het herstellen van bewijs van bestanden die aanvallers hebben geprobeerd te verwijderen.

USN Journal ($UsnJrnl)

Locatie: \\.\C:\$Extend\$UsnJrnl:$J

Het USN (Update Sequence Number) Journal registreert elke wijziging die is aangebracht in bestanden en mappen op het volume. Het legt bestandsaanmaak, -verwijdering, hernoeming, data-overschrijving en attribuutwijzigingen vast. Het journaal is circulair en kan behoorlijk groot worden, wat een gedetailleerde tijdlijn van bestandssysteemactiviteit biedt over een periode van dagen of weken.

$I30 (Directoryindex)

NTFS-directoryindexvermeldingen kunnen verwijzingen bevatten naar verwijderde bestanden die niet meer in directoryoverzichten verschijnen. Het parsen van $I30-slackruimte kan bestandsnamen en tijdstempels onthullen van bestanden die aanwezig waren in een map voordat ze werden verwijderd — een techniek die regelmatig wordt gebruikt om bestanden te ontdekken die aanvallers hebben neergezet en daarna verwijderd.

Aanvullende Artefacten om te Verzamelen

Naast de bovenstaande kerncategorieën verdienen enkele andere artefacten aandacht tijdens een grondig onderzoek:

Voor gedetailleerde analysehandleidingen per artefact, inclusief voorbeeldtooluitvoer en detectietechnieken, verkennen de DFIR Assist-kennisbank.

Meer Inzichten Verkennen

Lees meer forensische analysehandleidingen op onze blog, of lees meer over onze incident response-diensten en hoe wij onderzoeken ondersteunen.

Meer Inzichten Verkennen Onze IR-diensten