KAPE Githubリポジトリ調査（Targets/Logs,P2P,Windows）

# KAPE Githubリポジトリ調査（Targets/Logs,P2P,Windows） ## Targets/Logs/ApacheAccessLog.tkape ### 解説 apache access log ### Artifact Location ``` Name: Apache Access Log Category: Webservers Path: C:\ FileMask: 'access.log' Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由ファイルパスが明示的に指定されておらずCドライブ内全体で探しているため、不要なものを取得したり時間がかかったりしそう ### ToDo reporterに追加もともと取得しているが、これは削除？ ## Targets/Logs/IISLogFiles.tkape ### 解説 IISのログ ### Artifact Location ``` Name: IIS log files Category: Logs Path: C:\Windows\System32\LogFiles\W3SVC*\ FileMask: '*.log' - Name: IIS log files Category: Logs Path: C:\Windows.old\Windows\System32\LogFiles\W3SVC*\ FileMask: '*.log' - Name: IIS log files Category: Logs Path: C:\inetpub\logs\LogFiles\ FileMask: '*.log' - Name: IIS log files Category: Logs Path: C:\inetpub\logs\LogFiles\W3SVC*\ FileMask: '*.log' - Name: IIS log files Category: Logs Path: C:\Resources\Directory\*\LogFiles\Web\W3SVC*\ FileMask: '*.log' ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由必要 ### ToDo kape targetに追加（もともと取得されているが、対象ファイルが増えている） ## Targets/Logs/IISLogFiles.tkape ### 解説 MSSQLのエラーログ取得済み ## Targets/Logs/ManageEngineLogs.tkape ### 解説 ManageEngine(資産管理ソフト)のログ取得済み ## Targets/Logs/PowerShellConsole.tkape ### 解説 powershell consoleのログ。取得済み ## Targets/P2P/BitTorrent.tkape ### 解説 BitTorrent（p2pのファイル共有ソフト）のデータ。 ### Artifact Location ``` Name: TorrentClients - BitTorrent Category: FileDownload Path: C:\Users\%user%\AppData\Roaming\BitTorrent\ FileMask: '*.dat' ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由 bittorrentを用いたファイル漏洩があった場合に役立ちそう ### ToDo reporterに追加 ## Targets/P2P/BitTorrent.tkape ### 解説 BitTorrent（p2pのファイル共有ソフト）のデータ。 ### Artifact Location ``` Name: TorrentClients - BitTorrent Category: FileDownload Path: C:\Users\%user%\AppData\Roaming\BitTorrent\ FileMask: '*.dat' ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由 bittorrentを用いたファイル漏洩があった場合に役立ちそう ### ToDo reporterに追加 ## Targets/P2P/DC++.tkape ### 解説 DC++(オープンソースのP2Pファイル共有クライアント)のログ ### Artifact Location ``` Name: DC++ Chat Logs Category: FileDownload Path: C:\Users\%user%\AppData\Local\DC++\Logs\ Recursive: true Comment: "Locates DC++ hub/chat logs and copies them. Current as of version 0.868." ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由これ起因でファイル漏洩があった場合に役立ちそう targetで取得する必要はないと考える ### ToDo targetに追加済みだが、削除 reporterに追加 ## Targets/P2P/Freenet.tkape ### 解説 Freenet(p2pコミュニケーションフレームワーク)のデータ ### Artifact Location ``` Name: Freenet Category: File Downloads Path: C:\Users\%user%\AppData\Local\Freenet\ FileMask: 'node*' - Name: Freenet Category: File Downloads Path: C:\Users\%user%\AppData\Local\Freenet\ FileMask: '*completed.list.downloads' - Name: Freenet Category: File Downloads Path: C:\Users\%user%\AppData\Local\Freenet\ FileMask: '*completed.list.uploads' - Name: Freenet Category: File Downloads Path: C:\Users\%user%\AppData\Local\Freenet\ FileMask: '*.bak' - Name: Freenet Category: File Downloads Path: C:\Users\%user%\AppData\Local\Freenet\downloads\ Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由利用されていた場合に役立ちそう ### ToDo reporterに追加 ## Targets/P2P/FrostWire.tkape ### 解説 FrostWire(P2Pファイル共有ソフト)のデータ ### Artifact Location ``` Name: FrostWire Downloads Category: FileDownload Path: C:\Users\%user%\Documents\FrostWire\Torrent Data Recursive: true Comment: "Locates files downloaded that land in the default location as specified by FrostWire" - Name: FrostWire AppData Category: FileDownload Path: C:\Users\%user%\.frostwire5 FileMask: 'frostwire.props' Comment: "Locates a file that contains important information about the instance of FrostWire on the user's system" - Name: FrostWire AppData Category: FileDownload Path: C:\Users\%user%\.frostwire5 FileMask: 'itunes.props' Comment: "Locates a file that contains important information about the instance of FrostWire on the user's system" ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由利用されていた場合に役立ちそう ### ToDo reporterに追加 ## Targets/P2P/Gigatribe.tkape ### 解説 Gigatribe(P2Pファイル共有ソフト)のデータ ### Artifact Location ``` Name: Gigatribe Files Windows Vista/7/8/10 Category: FileDownload Path: C:\Users\%user%\AppData\Local\Shalsoft\ Recursive: true Comment: "Locates Gigatribe files and copies them" - Name: Gigatribe Files Windows XP Category: FileDownload Path: C:\Documents and Settings\%user%\*\Application Data\Gigatribe\ Recursive: true Comment: Locates Gigatribe files and copies them. Different path depending on the Operating System language. In Swedish the location is C:\Documents and Settings\<username>\Lokala Inställningar\Application Data\Gigatribe - Name: Gigatribe Files Windows XP Category: FileDownload Path: C:\Documents and Settings\%user%\*\Application Data\Shalsoft\ Recursive: true Comment: Locates Gigatribe files and copies them. Different path depending on the Operating System language. In Swedish the location is C:\Documents and Settings\<username>\Lokala Inställningar\Application Data\Shalsoft ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由利用されていた場合に役立ちそう ### ToDo reporterに追加 targetからは削除 ## Targets/P2P/NZBGet.tkape ### 解説 NZBGet（Usenetという複数サーバでデータ共有を行うシステムのクライアントソフト）のデータ ### Artifact Location ``` Name: Usenet Clients - NZBGet Log File Category: FileDownload Path: C:\ProgramData\NZBGet\ FileMask: 'nzbget.log' Comment: "Locates NZBGet download log file" - Name: Usenet Clients - NZBGet NZBs Category: FileDownload Path: C:\ProgramData\NZBGet\nzb\ Comment: "Locates NZBGet NZB files that were used by the user" ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由利用されていた場合に役立ちそう ### ToDo reporterに追加 ## Targets/P2P/NewsbinPro.tkape ### 解説 NewsbinPro（Usenetのクライアント）のデータ ### Artifact Location ``` Name: Usenet Clients - Newsbin Pro Category: FileDownload Path: C:\Users\%user%\AppData\Local\Newsbin\ FileMask: 'Downloaded.db3' Comment: "Locates Newsbin Pro download log database" ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由利用されていた場合に役立ちそう ### ToDo reporterに追加 ## Targets/P2P/Newsleecher.tkape ### 解説 Newsleeher（Usenhttps://hackmd.io/etのクライアント）のデータ ### Artifact Location ``` Name: Usenet Clients - Newsleecher Category: FileDownload Path: C:\Users\%user%\AppData\Roaming\NewsLeecher\ FileMask: 'downloaded.dat' Comment: "Locates Newsleecher download .dat file" ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由利用されていた場合に役立ちそう ### ToDo reporterに追加 ## Targets/P2P/Nicotine++.tkape ### 解説 nicotine++（p2pファイル共有クライアント）のログ ### Artifact Location ``` Name: Nicotine++ Logs Category: FileDownload Path: C:\Users\%User%\AppData\Roaming\nicotine\logs Recursive: true Comment: "Locates Nicotine++ chat logs, room logs, transfer logs, and debug logs (if enabled)" - Name: Nicotine++ Incomplete Downloads Category: FileDownload Path: C:\Users\%User%\AppData\Roaming\nicotine\incomplete Recursive: true Comment: "Locates files that did not finish downloading" - Name: Nicotine++ Buddyfiles.db Category: FileDownload Path: C:\Users\%User%\AppData\Roaming\nicotine\buddyfiles.db Recursive: true Comment: "Locates a DB that appears to include shared files from a user's buddy list" - Name: Nicotine++ Buddystreams.db Category: FileDownload Path: C:\Users\%User%\AppData\Roaming\nicotine\buddystreams.db Recursive: true Comment: "Locates a DB that appears to include shared files from a user's buddy list" - Name: Nicotine++ Buddymtimes.db Category: FileDownload Path: C:\Users\%User%\AppData\Roaming\nicotine\buddymtimes.db Recursive: true Comment: "Locates a DB that appears to enumerate which files the user is sharing to their buddy list, from a folder level" - Name: Nicotine++ Buddyfileindex.db Category: FileDownload Path: C:\Users\%User%\AppData\Roaming\nicotine\buddyfileindex.db Recursive: true Comment: "Locates a DB that appears to enumerate which files the user is sharing to their buddy list, from a file level" - Name: Nicotine++ Buddywordindex.db Category: FileDownload Path: C:\Users\%User%\AppData\Roaming\nicotine\buddywordindex.db Recursive: true Comment: "Unknown what this is for at this time" - Name: Nicotine++ Config Files Category: FileDownload Path: C:\Users\%User%\AppData\Roaming\nicotine\config Recursive: true Comment: "Locates config files" - Name: Nicotine++ User Shares Category: FileDownload Path: C:\Users\%User%\AppData\Roaming\nicotine\usershares Recursive: true Comment: "Locates a DB that appears to store a list of files per user that they are sharing within Nicotine++. Note: this requires the user to right-click -> browse files shared by that user" - Name: Nicotine++ Downloads.json Category: FileDownload Path: C:\Users\%User%\AppData\Roaming\nicotine FileMask: 'downloads.json*' Comment: "Locates downloads.json" - Name: Nicotine++ Uploads.json Category: FileDownload Path: C:\Users\%User%\AppData\Roaming\nicotine FileMask: 'uploads.json*' Comment: "Locates uploads.json" ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由利用されていた場合に役立ちそう ### ToDo reporterに追加 ## Targets/P2P/SABnbzd.tkape ### 解説 SABnbzd（OSSのバイナリニュースリーダー）のログ ### Artifact Location ``` Name: Usenet Clients - SABnzbd Download Logs Category: FileDownload Path: C:\Users\%user%\AppData\Local\sabnzbd\logs\ FileMask: 'sabnzbd.log' Comment: "Locates SABnzbd download log" - Name: Usenet Clients - SABnzbd History.db Category: FileDownload Path: C:\Users\%user%\AppData\Local\sabnzbd\admin\ FileMask: 'history1.db' Comment: "Locates SABnzbd history log" ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由利用されていた場合に役立ちそう ### ToDo reporterに追加 ## Targets/P2P/SABnbzd.tkape ### 解説 SABnbzd（OSSのバイナリニュースリーダー）のログ ### Artifact Location ``` Name: Usenet Clients - SABnzbd Download Logs Category: FileDownload Path: C:\Users\%user%\AppData\Local\sabnzbd\logs\ FileMask: 'sabnzbd.log' Comment: "Locates SABnzbd download log" - Name: Usenet Clients - SABnzbd History.db Category: FileDownload Path: C:\Users\%user%\AppData\Local\sabnzbd\admin\ FileMask: 'history1.db' Comment: "Locates SABnzbd history log" ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由利用されていた場合に役立ちそう ### ToDo reporterに追加 ## Targets/P2P/Shareaza.tkape ### 解説 Shareaza（OSSのP2Pクライアント）のログ取得済み ## Targets/P2P/Soulseek.tkape ### 解説 Soulseek（P2Pファイル共有アプリ）のログ取得済み ## Targets/P2P/Torrents.tkape ### 解説 .torrentファイル（BitTorrentで目的のファイルをダウンロードする際に様々な情報が詰め込まれた、専用のダウンロードファイル）取得済み ### Artifact Location ``` Name: Torrents Category: FileDownload Path: C:\ FileMask: '*.torrent' Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由あればファイルダウンロードの手がかりになると思われる。わざわざtargetで取るものではないと思う。 ### ToDo reporterに追加 targetからは削除 ## Targets/P2P/Usenet.tkape ### 解説 .nzbファイル（NNTP(Usernet)でファイルをやり取りするデータフォーマット） ### Artifact Location ``` Name: Usenet (NZB) Files Category: FileDownload Path: C:\ FileMask: '*.nzb' Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由あればファイルダウンロードの手がかりになると思われる。わざわざtargetで取るものではないと思う。 ### ToDo reporterに追加 ## Targets/P2P/qBittorrent.tkape ### 解説 qBittorrent(OSSのbittorrentクライアント)のデータ TorrentClients.tkapeで取得済み（いる？） ## Targets/P2P/uTorrent.tkape ### 解説 uTorrent(OSSのbittorrentクライアント)のデータ TorrentClients.tkapeで取得済み（いる？） ## Targets/Windows/WSA/WindowsSubsystemforAndroid.tkape ### 解説 WSA(Windows Subsystemo for Android)のアーティファクト ### Artifact Location ``` Name: Diagnostic Logs for WSA Category: Windows Subsystem for Android Path: C:\Users\%user%\AppData\Local\Packages\MicrosoftCorporationII.WindowsSubsystemForAndroid_8wekyb3d8bbwe\LocalState\diagnostics\logcat\ FileMask: "*.log" Comment: "Filenames should be %timestamp%.log" - Name: App download artifacts (PNG) Category: Windows Subsystem for Android Path: C:\Users\%user%\AppData\Local\Packages\MicrosoftCorporationII.WindowsSubsystemForAndroid_8wekyb3d8bbwe\LocalCache\ FileMask: "*.png" Comment: "Will provide examiners with indicators of which apps were downloaded" - Name: App download artifacts (ICO) Category: Windows Subsystem for Android Path: C:\Users\%user%\AppData\Local\Packages\MicrosoftCorporationII.WindowsSubsystemForAndroid_8wekyb3d8bbwe\LocalCache\ FileMask: "*.ico" Comment: "Will provide examiners with indicators of which apps were downloaded WHEN since .ico files appear immediately when download of an application completes" - Name: Appcompatdb.json Category: Windows Subsystem for Android Path: C:\Users\%user%\AppData\Local\Packages\MicrosoftCorporationII.WindowsSubsystemForAndroid_8wekyb3d8bbwe\LocalState\ FileMask: "appcompatdb.json" Comment: "Grabs the appcompatdb.json, unknown exactly what this is but further relevance could be uncovered after more research is conducted" - Name: userdata.vhdx Category: Windows Subsystem for Android Path: C:\Users\%user%\AppData\Local\Packages\MicrosoftCorporationII.WindowsSubsystemForAndroid_8wekyb3d8bbwe\LocalCache\ FileMask: "userdata.vhdx" Comment: "Grabs the user's data which appears to be stored in a VHDX" ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由 WSAが利用されているケースを聞いたことはないが、あれば悪用されうるので、存在チェックのみ ### ToDo reporterに追加 ## Targets/Windows/WSL/Debian.tkape ### 解説 WSL(Windows Subsystemo for Linux)のDebian系アーティファクト ### Artifact Location ``` Name: Debian WSL /etc/debian_version Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\etc\ FileMask: "debian_version" - Name: Debian WSL /etc/fstab Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\etc\ FileMask: "fstab" - Name: Debian WSL /etc/os-release Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\etc\ FileMask: "os-release" - Name: Debian WSL /etc/passwd Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\etc\ FileMask: "passwd" - Name: Debian WSL /etc/group Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\etc\ FileMask: "group" - Name: Debian WSL /etc/shadow Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\etc\ FileMask: "shadow" - Name: Debian WSL /etc/timezone Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\etc\ FileMask: "timezone" - Name: Debian WSL /etc/hostname Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\etc\ FileMask: "hostname" - Name: Debian WSL /etc/hosts Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\etc\ FileMask: "hosts" - Name: Debian WSL /etc/crontab Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\etc\ FileMask: "crontab" - Name: Debian WSL /etc/bash.bashrc Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\etc\ FileMask: "bash.bashrc" - Name: Debian WSL /etc/profile Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\etc\ FileMask: "profile" - Name: Debian WSL .bash_history Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\ Recursive: true FileMask: ".bash_history" - Name: Debian WSL .bashrc Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\ Recursive: true FileMask: ".bashrc" - Name: Debian WSL .profile Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\ Recursive: true FileMask: ".profile" - Name: Debian WSL User Crontabs Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\var\spool\cron\crontabs\ Recursive: true - Name: Debian WSL Apt Logs Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\rootfs\var\log\apt\ Recursive: true FileMask: "*.log" - Name: Debian WSL ext4.vhdx Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\TheDebianProject.DebianGNULinux_*\LocalState\ FileMask: "ext4.vhdx" ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由 WSLが悪用されているケースで役立ちそう（ファストでvhdxは取らなくていいかも） ### ToDo reporterに追加 ## Targets/Windows/WSL/Kali.tkape ### 解説 WSL(Windows Subsystemo for Linux)のkali系アーティファクト ### Artifact Location ``` Name: Kali WSL /etc/debian_version Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\etc\ FileMask: "debian_version" - Name: Kali WSL /etc/fstab Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\etc\ FileMask: "fstab" - Name: Kali WSL /etc/os-release Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\etc\ FileMask: "os-release" - Name: Kali WSL /etc/passwd Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\etc\ FileMask: "passwd" - Name: Kali WSL /etc/group Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\etc\ FileMask: "group" - Name: Kali WSL /etc/shadow Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\etc\ FileMask: "shadow" - Name: Kali WSL /etc/timezone Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\etc\ FileMask: "timezone" - Name: Kali WSL /etc/hostname Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\etc\ FileMask: "hostname" - Name: Kali WSL /etc/hosts Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\etc\ FileMask: "hosts" - Name: Kali WSL /etc/crontab Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\etc\ FileMask: "crontab" - Name: Kali WSL /etc/bash.bashrc Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\etc\ FileMask: "bash.bashrc" - Name: Kali WSL /etc/profile Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\etc\ FileMask: "profile" - Name: Kali WSL .bash_history Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\ Recursive: true FileMask: ".bash_history" - Name: Kali WSL .bashrc Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\ Recursive: true FileMask: ".bashrc" - Name: Kali WSL .profile Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\ Recursive: true FileMask: ".profile" - Name: Kali WSL User Crontabs Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\var\spool\cron\crontabs\ Recursive: true - Name: Kali WSL Apt Logs Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\rootfs\var\log\apt\ Recursive: true FileMask: "*.log" - Name: Kali WSL ext4.vhdx Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\KaliLinux.54290C8133FEE_*\LocalState\ FileMask: "ext4.vhdx" ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由 WSLが悪用されているケースで役立ちそう（ファストでvhdxは取らなくていいかも） ### ToDo reporterに追加 ## Targets/Windows/WSL/SUSELinuxEnterpriseServer.tkape ### 解説 WSL(Windows Subsystemo for Linux)のSUSE系アーティファクト ### Artifact Location ``` Name: SUSE Linux Enterprise Server WSL /etc/os-release Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.SUSELinuxEnterpriseServer*\LocalState\rootfs\etc\ FileMask: "os-release" - Name: SUSE Linux Enterprise Server WSL /etc/fstab Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.SUSELinuxEnterpriseServer*\LocalState\rootfs\etc\ FileMask: "fstab" - Name: SUSE Linux Enterprise Server WSL /etc/passwd Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.SUSELinuxEnterpriseServer*\LocalState\rootfs\etc\ FileMask: "passwd" - Name: SUSE Linux Enterprise Server WSL /etc/group Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.SUSELinuxEnterpriseServer*\LocalState\rootfs\etc\ FileMask: "group" - Name: SUSE Linux Enterprise Server WSL /etc/shadow Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.SUSELinuxEnterpriseServer*\LocalState\rootfs\etc\ FileMask: "shadow" - Name: SUSE Linux Enterprise Server WSL /etc/timezone Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.SUSELinuxEnterpriseServer*\LocalState\rootfs\etc\ FileMask: "timezone" - Name: SUSE Linux Enterprise Server WSL /etc/hostname Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.SUSELinuxEnterpriseServer*\LocalState\rootfs\etc\ FileMask: "hostname" - Name: SUSE Linux Enterprise Server WSL /etc/hosts Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.SUSELinuxEnterpriseServer*\LocalState\rootfs\etc\ FileMask: "hosts" - Name: SUSE Linux Enterprise Server WSL /etc/bash.bashrc Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.SUSELinuxEnterpriseServer*\LocalState\rootfs\etc\ FileMask: "bash.bashrc" - Name: SUSE Linux Enterprise Server WSL /etc/profile Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.SUSELinuxEnterpriseServer*\LocalState\rootfs\etc\ FileMask: "profile" - Name: SUSE Linux Enterprise Server WSL .bash_history Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.SUSELinuxEnterpriseServer*\LocalState\rootfs\ Recursive: true FileMask: ".bash_history" - Name: SUSE Linux Enterprise Server WSL .bashrc Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.SUSELinuxEnterpriseServer*\LocalState\rootfs\ Recursive: true FileMask: ".bashrc" - Name: SUSE Linux Enterprise Server WSL .profile Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.SUSELinuxEnterpriseServer*\LocalState\rootfs\ Recursive: true FileMask: ".profile" - Name: SUSE Linux Enterprise Server WSL ext4.vhdx Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.SUSELinuxEnterpriseServer*\LocalState\ FileMask: "ext4.vhdx" ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由 WSLが悪用されているケースで役立ちそう（ファストでvhdxは取らなくていいかも） ### ToDo reporterに追加 ## Targets/Windows/WSL/Ubuntu.tkape ### 解説 WSL(Windows Subsystemo for Linux)のUbuntu系アーティファクト ### Artifact Location ``` Name: Ubuntu WSL /etc/os-release Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\rootfs\etc\ FileMask: "os-release" - Name: Ubuntu WSL /etc/fstab Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\rootfs\etc\ FileMask: "fstab" - Name: Ubuntu WSL /etc/passwd Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\rootfs\etc\ FileMask: "passwd" - Name: Ubuntu WSL /etc/group Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\rootfs\etc\ FileMask: "group" - Name: Ubuntu WSL /etc/shadow Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\rootfs\etc\ FileMask: "shadow" - Name: Ubuntu WSL /etc/timezone Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\rootfs\etc\ FileMask: "timezone" - Name: Ubuntu WSL /etc/hostname Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\rootfs\etc\ FileMask: "hostname" - Name: Ubuntu WSL /etc/hosts Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\rootfs\etc\ FileMask: "hosts" - Name: Ubuntu WSL /etc/crontab Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\rootfs\etc\ FileMask: "crontab" - Name: Ubuntu WSL /etc/bash.bashrc Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\rootfs\etc\ FileMask: "bash.bashrc" - Name: Ubuntu WSL /etc/profile Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\rootfs\etc\ FileMask: "profile" - Name: Ubuntu WSL .bash_history Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\rootfs\ Recursive: true FileMask: ".bash_history" - Name: Ubuntu WSL .bashrc Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\rootfs\ Recursive: true FileMask: ".bashrc" - Name: Ubuntu WSL .profile Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\rootfs\ Recursive: true FileMask: ".profile" - Name: Ubuntu WSL User Crontabs Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\rootfs\var\spool\cron\crontabs\ Recursive: true - Name: Ubuntu WSL Apt Logs Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\rootfs\var\log\apt\ Recursive: true FileMask: "*.log" - Name: Ubuntu WSL ext4.vhdx Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\CanonicalGroupLimited.Ubuntu*\LocalState\ FileMask: "ext4.vhdx" ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由 WSLが悪用されているケースで役立ちそう（ファストでvhdxは取らなくていいかも） ### ToDo reporterに追加 ## Targets/Windows/WSL/openSUSE.tkape ### 解説 WSL(Windows Subsystemo for Linux)のopenSUSE系アーティファクト ### Artifact Location ``` Name: openSUSE WSL /etc/os-release Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.openSUSE*Leap*\LocalState\rootfs\etc\ FileMask: "os-release" - Name: openSUSE WSL /etc/fstab Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.openSUSE*Leap*\LocalState\rootfs\etc\ FileMask: "fstab" - Name: openSUSE WSL /etc/passwd Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.openSUSE*Leap*\LocalState\rootfs\etc\ FileMask: "passwd" - Name: openSUSE WSL /etc/group Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.openSUSE*Leap*\LocalState\rootfs\etc\ FileMask: "group" - Name: openSUSE WSL /etc/shadow Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.openSUSE*Leap*\LocalState\rootfs\etc\ FileMask: "shadow" - Name: openSUSE WSL /etc/timezone Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.openSUSE*Leap*\LocalState\rootfs\etc\ FileMask: "timezone" - Name: openSUSE WSL /etc/hostname Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.openSUSE*Leap*\LocalState\rootfs\etc\ FileMask: "hostname" - Name: openSUSE WSL /etc/hosts Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.openSUSE*Leap*\LocalState\rootfs\etc\ FileMask: "hosts" - Name: openSUSE WSL /etc/bash.bashrc Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.openSUSE*Leap*\LocalState\rootfs\etc\ FileMask: "bash.bashrc" - Name: openSUSE WSL /etc/profile Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.openSUSE*Leap*\LocalState\rootfs\etc\ FileMask: "profile" - Name: openSUSE WSL .bash_history Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.openSUSE*Leap*\LocalState\rootfs\ Recursive: true FileMask: ".bash_history" - Name: openSUSE WSL .bashrc Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.openSUSE*Leap*\LocalState\rootfs\ Recursive: true FileMask: ".bashrc" - Name: openSUSE WSL .profile Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.openSUSE*Leap*\LocalState\rootfs\ Recursive: true FileMask: ".profile" - Name: openSUSE WSL ext4.vhdx Category: Windows Subsystem for Linux Path: C:\Users\%user%\AppData\Local\Packages\46932SUSE.openSUSE*Leap*\LocalState\ FileMask: "ext4.vhdx" ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由 WSLが悪用されているケースで役立ちそう（ファストでvhdxは取らなくていいかも） ### ToDo reporterに追加 ## Targets/Windows/$Boot.tkape $Boot 取得済み ## Targets/Windows/$J.tkape $J 取得済み ## Targets/Windows/$LogFile.tkape 取得済み ## Targets/Windows/$MFT.tkape 取得済み ## Targets/Windows/$SDS.tkape 取得済み ## Targets/Windows/$T.tkape 取得済み ## Targets/Windows/Amcache.tkape ### 解説 amcache ### Artifact Location ``` Name: Amcache Category: ApplicationCompatibility Path: C:\Windows\AppCompat\Programs\ FileMask: Amcache.hve - Name: Amcache Category: ApplicationCompatibility Path: C:\Windows.old\Windows\AppCompat\Programs\ FileMask: Amcache.hve - Name: Amcache transaction files Category: ApplicationCompatibility Path: C:\Windows\AppCompat\Programs\ FileMask: Amcache.hve.LOG* - Name: Amcache transaction files Category: ApplicationCompatibility Path: C:\Windows.old\Windows\AppCompat\Programs\ FileMask: Amcache.hve.LOG* ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由 windows.oldフォルダが追加されてる ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/AppCompatPCA.tkape ### 解説 windows11の新しい実行痕跡。 https://aboutdfir.com/new-windows-11-pro-22h2-evidence-of-execution-artifact/ ### Artifact Location ``` Name: AppCompat PCA Folder Category: AppCompat Path: C:\Windows\appcompat\pca ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由実行痕跡として使えそう ### ToDo targetに追加チェックリストに追加 ## Targets/Windows/ApplicationEvents.tkape ### 解説 Applicationのイベントログ ### Artifact Location ``` Name: Application Event Log XP Category: EventLogs Path: C:\Windows\System32\config\ FileMask: AppEvent.evt - Name: Application Event Log XP Category: EventLogs Path: C:\Windows.old\Windows\System32\config\ FileMask: AppEvent.evt - Name: Application Event Log Win7+ Category: EventLogs Path: C:\Windows\System32\winevt\logs\ FileMask: application.evtx - Name: Application Event Log Win7+ Category: EventLogs Path: C:\Windows.old\Windows\System32\winevt\logs\ FileMask: application.evtx ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明。windows.oldフォルダが追加されてる ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/AssetAdvisorLog.tkape ### 解説実行ファイルの情報が記載されることがあるらしい。 ### Artifact Location ``` Name: Asset Advisor Log Category: Executables Path: C:\Windows\CCM\Logs\AssetAdvisor.log FileMask: EncapsulationLogging.hve ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由実行痕跡となりうるため ### ToDo targetに追加 ## Targets/Windows/BCD.tkape 取得済み ## Targets/Windows/BITS.tkape 取得済み ## Targets/Windows/CertUtil.tkape ### 解説 cerutilによる実行痕跡 ### Artifact Location ``` Name: System CryptnetUrlCache Category: FileKnowledge Path: C:\Windows\System32\config\systemprofile\AppData\LocalLow\Microsoft\CryptnetUrlCache\ Recursive: true - Name: User CryptnetUrlCache Category: FileKnowledge Path: C:\Users\%user%\AppData\LocalLow\Microsoft\CryptnetUrlCache\ Recursive: true - Name: INetCache Category: FileKnowledge Path: C:\Users\%user%\AppData\Local\Microsoft\Windows\INetCache\IE\ Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由実行痕跡、チェックリストに追加している調査対象 ### ToDo targetに追加 ## Targets/Windows/EncapsulationLogging.tkape ### 解説 windows10 1903で追加されたレジストリハイブ。情報が少ない。一部認識されているが、有益な情報はえられていない。 https://twitter.com/moustik01/status/1168213673405554688 https://twitter.com/errno_fail/status/1099641874598498310 ### Artifact Location ``` Name: EncapsulationLogging Category: Executables Path: C:\Windows\Appcompat\Programs\ FileMask: EncapsulationLogging.hve - Name: EncapsulationLogging Category: Executables Path: C:\Windows.old\Windows\Appcompat\Programs\ FileMask: EncapsulationLogging.hve - Name: EncapsulationLogging Logs Category: Executables Path: C:\Windows\Appcompat\Programs\ FileMask: EncapsulationLogging.hve.log* - Name: EncapsulationLogging Logs Category: Executables Path: C:\Windows.old\Windows\Appcompat\Programs\ FileMask: EncapsulationLogging.hve.log* ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由一応取得しておく ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/EventLogs-RDP.tkape ### 解説 RDPのイベントログ ### Artifact Location ``` Name: Event logs Win7+ Category: EventLogs Path: C:\Windows\System32\winevt\logs\ FileMask: System.evtx - Name: Event logs Win7+ Category: EventLogs Path: C:\Windows.old\Windows\System32\winevt\logs\ FileMask: System.evtx - Name: Event logs Win7+ Category: EventLogs Path: C:\Windows\System32\winevt\logs\ FileMask: Security.evtx - Name: Event logs Win7+ Category: EventLogs Path: C:\Windows.old\Windows\System32\winevt\logs\ FileMask: Security.evtx - Name: Event logs Win7+ Category: EventLogs Path: C:\Windows\System32\winevt\Logs\Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx FileMask: Microsoft-Windows-TerminalServices-LocalSessionManager%4Operational.evtx - Name: Event logs Win7+ Category: EventLogs Path: C:\Windows\System32\winevt\Logs\ FileMask: Microsoft-Windows-TerminalServices-RemoteConnectionManager%4Operational.evtx ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明 ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/EventLogs.tkape ### 解説イベントログ ### Artifact Location ``` Name: Event logs XP Category: EventLogs Path: C:\Windows\System32\config\ FileMask: '*.evt' - Name: Event logs Win7+ Category: EventLogs Path: C:\Windows\System32\winevt\logs\ FileMask: '*.evtx' - Name: Event logs Win7+ Category: EventLogs Path: C:\Windows.old\Windows\System32\winevt\logs\ FileMask: '*.evtx' ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明 ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/EventTraceLogs.tkape event tracing logs 追加済み ## Targets/Windows/EventTranscriptDB.tkape ### 解説 windowsで発生したイベントを記録するsqliteデータベース解説記事↓ https://github.com/AndrewRathbun/EventTranscript.db-Research ### Artifact Location ``` Name: EventTranscript.db Category: SystemEvents Path: C:\ProgramData\Microsoft\Diagnosis\EventTranscript FileMask: 'EventTranscript.db*' - Name: EventTranscript.db Category: SystemEvents Path: C:\Windows.old\ProgramData\Microsoft\Diagnosis\EventTranscript FileMask: 'EventTranscript.db*' - Name: Microsoft Office Diagnostic Logs Category: SystemEvents Path: C:\Users\%User%\AppData\Local\Temp\Diagnostics Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明。使えそう。 ### ToDo targetに追加チェックリストに追加 ## Targets/Windows/GroupPolicy.tkape ### 解説 group policyで配布されるファイル・スクリプト ### Artifact Location ``` Name: Local Group Policy INI Files Category: Communication Path: C:\Windows\System32\grouppolicy\ FileMask: '*.ini' - Name: Local Group Policy INI Files Category: Communication Path: C:\Windows.old\Windows\System32\grouppolicy\ FileMask: '*.ini' - Name: Local Group Policy Files - Registry Policy Files Category: Communication Path: C:\Windows\System32\grouppolicy\ FileMask: '*.pol' - Name: Local Group Policy Files - Registry Policy Files Category: Communication Path: C:\Windows.old\Windows\System32\grouppolicy\ FileMask: '*.pol' - Name: Local Group Policy Files - Startup/Shutdown Scripts Category: Communication Path: C:\Windows\System32\grouppolicy\*\Scripts\ Recursive: true - Name: Local Group Policy Files - Startup/Shutdown Scripts Category: Communication Path: C:\Windows.old\Windows\System32\grouppolicy\*\Scripts\ Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明。windows.oldも追加されてる ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/LNKFilesAndJumpLists.tkape ### 解説 lnkファイル、ジャンプリスト ### Artifact Location ``` Name: LNK Files from Recent Category: LNKFiles Path: C:\Users\%user%\AppData\Roaming\Microsoft\Windows\Recent\ Recursive: true Comment: Also includes automatic and custom jumplist directories - Name: LNK Files from Microsoft Office Recent Category: LNKFiles Path: C:\Users\%user%\AppData\Roaming\Microsoft\Office\Recent\ Recursive: true - Name: Start Menu LNK Files Category: LNKFiles Path: C:\Users\%user%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs FileMask: '*.LNK' - Name: LNK Files from Recent (XP) Category: LNKFiles Path: C:\Documents and Settings\%user%\Recent\ Recursive: true - Name: Desktop LNK Files XP Category: LNKFiles Path: C:\Documents and Settings\%user%\Desktop\ FileMask: '*.LNK' - Name: Desktop LNK Files Category: LNKFiles Path: C:\Users\%user%\Desktop\ FileMask: '*.LNK' - Name: Restore point LNK Files XP Category: LNKFiles Path: C:\System Volume Information\_restore*\RP*\ FileMask: '*.LNK' - Name: LNK Files from C:\ProgramData Category: LNKFiles Path: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ FileMask: '*.LNK' ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明。いくつか対象が追加されている ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/LinuxOnWindowsProfileFiles.tkape wsl等によりwindows上に置かれたlinuxの各種artifact 追加済み ## Targets/Windows/LogFiles.tkape ### 解説 logfilesフォルダ ### Artifact Location ``` Name: LogFiles Category: Logs Path: C:\Windows\System32\LogFiles\ Recursive: true - Name: LogFiles Category: Logs Path: C:\Windows.old\Windows\System32\LogFiles\ Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由有用なログファイルが含まれている可能性 windows.oldが追加されている ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/MOF.tkape ### 解説 logfilesフォルダ ### Artifact Location ``` Name: MOF files Category: WMI Path: C:\ Recursive: true FileMask: '*.MOF' ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由ドライブをたどる必要があるため、reporterで良いと考える ### ToDo target削除 reporter追加 ## Targets/Windows/MemoryFiles.tkape ### 解説メモリ関連 ### Artifact Location ``` Name: hiberfil.sys Category: Memory Path: C:\ FileMask: hiberfil.sys AlwaysAddToQueue: true - Name: pagefile.sys Category: Memory Path: C:\ FileMask: pagefile.sys AlwaysAddToQueue: true - Name: swapfile.sys Category: Memory Path: C:\ FileMask: swapfile.sys AlwaysAddToQueue: true - Name: Small Memory Dump directory Category: Memory Path: C:\Windows\Minidump\ FileMask: '*.dmp' Comment: "https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/small-memory-dump" - Name: Small Memory Dump directory Category: Memory Path: C:\Windows.old\Windows\Minidump\ FileMask: '*.dmp' Comment: "https://docs.microsoft.com/en-us/windows-hardware/drivers/debugger/small-memory-dump" ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明。windows.oldが追加されている ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/NETCLRUsageLogs.tkape ### 解説アプリケーションによる.NET CLRのログ。実行痕跡となりうる。 https://blog.menasec.net/2019/07/interesting-difr-traces-of-net-clr.html https://bohops.com/2021/03/16/investigating-net-clr-usage-log-tampering-techniques-for-edr-evasion/ ### Artifact Location ``` Name: .NET CLR UsageLogs Category: .NET CLR UsageLogs Path: C:\Users\%user%\AppData\Local\Microsoft\CLR_*\UsageLogs Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由実行痕跡となりうる ### ToDo targetに追加 ## Targets/Windows/NETCLRUsageLogs.tkape ### 解説アプリケーションによる.NET CLRのログ。実行痕跡となりうる。 https://blog.menasec.net/2019/07/interesting-difr-traces-of-net-clr.html https://bohops.com/2021/03/16/investigating-net-clr-usage-log-tampering-techniques-for-edr-evasion/ ### Artifact Location ``` Name: .NET CLR UsageLogs Category: .NET CLR UsageLogs Path: C:\Users\%user%\AppData\Local\Microsoft\CLR_*\UsageLogs Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由実行痕跡となりうる ### ToDo targetに追加 ## Targets/Windows/OfficeAutosave.tkape 自動保存されたofficeファイル取得済み ## Targets/Windows/OfficeDiagnostics.tkape ### 解説 Office Diagnosticsのデータ。 CVE-2022-30190 ('Follina')のペイロードはここに記録されるらしい ### Artifact Location ``` Name: Office Diagnostics Category: Execution Path: C:\Users\%user%\AppData\Local\Diagnostics\ FileMask: "PCW.debugreport.xml" Comment: "Payloads for CVE-2022-30190 ('Follina') will be in this log" - Name: Office Elevated Diagnostics Category: Execution Path: C:\Users\%user%\AppData\Local\ElevatedDiagnostics\ FileMask: "PCW.debugreport.xml" Comment: "Payloads for CVE-2022-30190 ('Follina') will be in this log" ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由実行痕跡となりうる ### ToDo targetに追加 ## Targets/Windows/OfficeDocumentCache.tkape 自動保存されたofficeファイル取得済み ## Targets/Windows/Prefetch.tkape ### 解説 Prefetch ### Artifact Location ``` Name: Prefetch Category: Prefetch Path: C:\Windows\prefetch\ FileMask: '*.pf' - Name: Prefetch Category: Prefetch Path: C:\Windows.old\Windows\prefetch\ FileMask: '*.pf' ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由実行痕跡となりうる ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/RDPCache.tkape ### 解説 RDP cache ### Artifact Location ``` Name: RDP Cache Files Category: FileSystem Path: C:\Users\%user%\AppData\Local\Microsoft\Terminal Server Client\Cache\ - Name: Windows.old RDP Cache Files Category: FileSystem Path: C:\Windows.old\Users\%user%\AppData\Local\Microsoft\Terminal Server Client\Cache\ - Name: RDP Cache Files Category: FileSystem Path: C:\Documents and Settings\%user%\Local Settings\Application Data\Microsoft\Terminal Server Client\Cache\ ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由 RDPの痕跡。windows.oldが追加されている ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/RDPLogs.tkape ### 解説 RDP log ### Artifact Location ``` Name: RemoteConnectionManager Event Logs Category: EventLogs Path: C:\Windows\System32\winevt\logs\ FileMask: Microsoft-Windows-TerminalServices-RemoteConnectionManager* - Name: RemoteConnectionManager Event Logs Category: EventLogs Path: C:\Windows.old\Windows\System32\winevt\logs\ FileMask: Microsoft-Windows-TerminalServices-RemoteConnectionManager* - Name: LocalSessionManager Event Logs Category: EventLogs Path: C:\Windows\System32\winevt\logs\ FileMask: Microsoft-Windows-TerminalServices-LocalSessionManager* - Name: LocalSessionManager Event Logs Category: EventLogs Path: C:\Windows.old\Windows\System32\winevt\logs\ FileMask: Microsoft-Windows-TerminalServices-LocalSessionManager* - Name: RDPClient Event Logs Category: EventLogs Path: C:\Windows\System32\winevt\logs\ FileMask: Microsoft-Windows-TerminalServices-RDPClient* - Name: RDPClient Event Logs Category: EventLogs Path: C:\Windows.old\Windows\System32\winevt\logs\ FileMask: Microsoft-Windows-TerminalServices-RDPClient* - Name: RDPCoreTS Event Logs Category: EventLogs Path: C:\Windows\System32\winevt\logs\ FileMask: Microsoft-Windows-RemoteDesktopServices-RdpCoreTS* Comment: "Can be used to correlate RDP logon failures by originating IP" - Name: RDPCoreTS Event Logs Category: EventLogs Path: C:\Windows.old\Windows\System32\winevt\logs\ FileMask: Microsoft-Windows-RemoteDesktopServices-RdpCoreTS* Comment: "Can be used to correlate RDP logon failures by originating IP" ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由 RDPの痕跡。windows.oldが追加されている ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/RecentFileCache.tkape ### 解説 RecentFileCache ### Artifact Location ``` Name: RecentFileCache Category: ApplicationCompatability Path: C:\Windows\AppCompat\Programs\ FileMask: RecentFileCache.bcf - Name: RecentFileCache Category: ApplicationCompatability Path: C:\Windows.old\Windows\AppCompat\Programs\ FileMask: RecentFileCache.bcf ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明。windows.oldが追加されている ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/RecentFileCache.tkape ### 解説 RecentFileCache ### Artifact Location ``` Name: RecentFileCache Category: ApplicationCompatability Path: C:\Windows\AppCompat\Programs\ FileMask: RecentFileCache.bcf - Name: RecentFileCache Category: ApplicationCompatability Path: C:\Windows.old\Windows\AppCompat\Programs\ FileMask: RecentFileCache.bcf ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明。windows.oldが追加されている ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/RecycleBin_DataFiles.tkape ### 解説 recyclebinのデータのみ。以前のkape targetと比べると、$I(インデックス)のみ取得するものと、$R(データ)のみ取得するものに分かれており、 XPのファイルパスが少し変更されている ### Artifact Location ``` - Name: Recycle Bin - Windows Vista+ Category: FileDeletion Path: C:\$Recycle.Bin\ FileMask: '$R*' Recursive: true - Name: Recycle Bin - Windows Vista+ Category: FileDeletion Path: C:\$Recycle.Bin\*\$R*\ Recursive: true - Name: RECYCLER - WinXP Category: FileDeletion Path: C:\RECYCLE*\ FileMask: 'D*' Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由 XPのファイルパスが変更されているため、それは変更したほうがいいかも（ただXPなのでそもそもkapeが実行できない可能性がある ### ToDo XPの箇所のみkape修正 ## Targets/Windows/RecycleBin_InfoFiles.tkape ### 解説 recyclebinのインデックスのみ。以前のkape targetと比べると、$I(インデックス)のみ取得するものと、$R(データ)のみ取得するものに分かれており、 XPのファイルパスが少し変更されている ### Artifact Location ``` Name: Recycle Bin - Windows Vista+ Category: FileDeletion Path: C:\$Recycle.Bin\ FileMask: '$I*' Recursive: true - Name: RECYCLER - WinXP Category: FileDeletion Path: C:\RECYCLE*\ FileMask: 'INFO2' Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由 XPのファイルパスが変更されているため、それは変更したほうがいいかも（ただXPなのでそもそもkapeが実行できない可能性がある ### ToDo XPの箇所のみkape修正 ## Targets/Windows/RegistryHivesOther.tkape ### 解説その他のレジストリハイブ ### Artifact Location ``` Name: BBI registry hive Category: Registry Path: C:\Windows\System32\config\ FileMask: BBI - Name: BBI registry hive Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: BBI - Name: BBI registry transaction files Category: Registry Path: C:\Windows\System32\config\ FileMask: BBI.LOG* - Name: BBI registry transaction files Category: Registry Path: C:\Windows.old\System32\config\ FileMask: BBI.LOG* - Name: BCD-Template registry hive Category: Registry Path: C:\Windows\System32\config\ FileMask: BCD-Template - Name: BCD-Template registry hive Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: BCD-Template - Name: BCD-Template registry transaction files Category: Registry Path: C:\Windows\System32\config\ FileMask: BCD-Template.LOG* - Name: BCD-Template registry transaction files Category: Registry Path: C:\Windows.old\System32\config\ FileMask: BCD-Template.LOG* - Name: COMPONENTS registry hive Category: Registry Path: C:\Windows\System32\config\ FileMask: COMPONENTS - Name: COMPONENTS registry hive Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: COMPONENTS - Name: COMPONENTS registry transaction files Category: Registry Path: C:\Windows\System32\config\ FileMask: COMPONENTS.LOG* - Name: COMPONENTS registry transaction files Category: Registry Path: C:\Windows.old\System32\config\ FileMask: COMPONENTS.LOG* - Name: DRIVERS registry hive Category: Registry Path: C:\Windows\System32\config\ FileMask: DRIVERS - Name: DRIVERS registry hive Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: DRIVERS - Name: DRIVERS registry transaction files Category: Registry Path: C:\Windows\System32\config\ FileMask: DRIVERS.LOG* - Name: DRIVERS registry transaction files Category: Registry Path: C:\Windows.old\System32\config\ FileMask: DRIVERS.LOG* - Name: ELAM registry hive Category: Registry Path: C:\Windows\System32\config\ FileMask: ELAM - Name: ELAM registry hive Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: ELAM - Name: ELAM registry transaction files Category: Registry Path: C:\Windows\System32\config\ FileMask: ELAM.LOG* - Name: ELAM registry transaction files Category: Registry Path: C:\Windows.old\System32\config\ FileMask: ELAM.LOG* - Name: userdiff registry hive Category: Registry Path: C:\Windows\System32\config\ FileMask: userdiff - Name: userdiff registry hive Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: userdiff - Name: userdiff registry transaction files Category: Registry Path: C:\Windows\System32\config\ FileMask: userdiff.LOG* - Name: userdiff registry transaction files Category: Registry Path: C:\Windows.old\System32\config\ FileMask: userdiff.LOG* - Name: VSMIDK registry hive Category: Registry Path: C:\Windows\System32\config\ FileMask: VSMIDK - Name: VSMIDK registry hive Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: VSMIDK - Name: VSMIDK registry transaction files Category: Registry Path: C:\Windows\System32\config\ FileMask: VSMIDK.LOG* - Name: VSMIDK registry transaction files Category: Registry Path: C:\Windows.old\System32\config\ FileMask: VSMIDK.LOG* ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由有効性はわからないため。要検証 ### ToDo reporterに追加 ## Targets/Windows/RegistryHivesSystem.tkape ### 解説主要なシステムレジストリ ### Artifact Location ``` Name: SAM registry transaction files Category: Registry Path: C:\Windows\System32\config\ FileMask: SAM.LOG* - Name: SAM registry transaction files Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: SAM.LOG* - Name: SECURITY registry transaction files Category: Registry Path: C:\Windows\System32\config\ FileMask: SECURITY.LOG* - Name: SECURITY registry transaction files Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: SECURITY.LOG* - Name: SOFTWARE registry transaction files Category: Registry Path: C:\Windows\System32\config\ FileMask: SOFTWARE.LOG* - Name: SOFTWARE registry transaction files Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: SOFTWARE.LOG* - Name: SYSTEM registry transaction files Category: Registry Path: C:\Windows\System32\config\ FileMask: SYSTEM.LOG* - Name: SYSTEM registry transaction files Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: SYSTEM.LOG* - Name: SAM registry hive Category: Registry Path: C:\Windows\System32\config\ FileMask: SAM - Name: SAM registry hive Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: SAM - Name: SECURITY registry hive Category: Registry Path: C:\Windows\System32\config\ FileMask: SECURITY - Name: SECURITY registry hive Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: SECURITY - Name: SOFTWARE registry hive Category: Registry Path: C:\Windows\System32\config\ FileMask: SOFTWARE - Name: SOFTWARE registry hive Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: SOFTWARE - Name: SYSTEM registry hive Category: Registry Path: C:\Windows\System32\config\ FileMask: SYSTEM - Name: SYSTEM registry hive Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: SYSTEM - Name: RegBack registry transaction files Category: Registry Path: C:\Windows\System32\config\RegBack\ FileMask: '*.LOG*' - Name: RegBack registry transaction files Category: Registry Path: C:\Windows.old\Windows\System32\config\RegBack\ FileMask: '*.LOG*' - Name: SAM registry hive (RegBack) Category: Registry Path: C:\Windows\System32\config\RegBack\ FileMask: SAM - Name: SAM registry hive (RegBack) Category: Registry Path: C:\Windows.old\Windows\System32\config\RegBack\ FileMask: SAM - Name: SECURITY registry hive (RegBack) Category: Registry Path: C:\Windows\System32\config\RegBack\ FileMask: SECURITY - Name: SECURITY registry hive (RegBack) Category: Registry Path: C:\Windows.old\Windows\System32\config\RegBack\ FileMask: SECURITY - Name: SOFTWARE registry hive (RegBack) Category: Registry Path: C:\Windows\System32\config\RegBack\ FileMask: SOFTWARE - Name: SOFTWARE registry hive (RegBack) Category: Registry Path: C:\Windows.old\Windows\System32\config\RegBack\ FileMask: SOFTWARE - Name: SYSTEM registry hive (RegBack) Category: Registry Path: C:\Windows\System32\config\RegBack\ FileMask: SYSTEM - Name: SYSTEM registry hive (RegBack) Category: Registry Path: C:\Windows.old\Windows\System32\config\RegBack\ FileMask: SYSTEM - Name: SYSTEM registry hive (RegBack) Category: Registry Path: C:\Windows\System32\config\RegBack\ FileMask: SYSTEM1 - Name: SYSTEM registry hive (RegBack) Category: Registry Path: C:\Windows.old\Windows\System32\config\RegBack\ FileMask: SYSTEM1 - Name: System Profile registry hive Category: Registry Path: C:\Windows\System32\config\systemprofile\ FileMask: NTUSER.DAT - Name: System Profile registry hive Category: Registry Path: C:\Windows.old\Windows\System32\config\systemprofile\ FileMask: NTUSER.DAT - Name: System Profile registry transaction files Category: Registry Path: C:\Windows\System32\config\systemprofile\ FileMask: NTUSER.DAT.LOG* - Name: System Profile registry transaction files Category: Registry Path: C:\Windows.old\Windows\System32\config\systemprofile\ FileMask: NTUSER.DAT.LOG* - Name: Local Service registry hive Category: Registry Path: C:\Windows\ServiceProfiles\LocalService\ FileMask: NTUSER.DAT - Name: Local Service registry hive Category: Registry Path: C:\Windows.old\Windows\ServiceProfiles\LocalService\ FileMask: NTUSER.DAT - Name: Local Service registry transaction files Category: Registry Path: C:\Windows\ServiceProfiles\LocalService\ FileMask: NTUSER.DAT.LOG* - Name: Local Service registry transaction files Category: Registry Path: C:\Windows.old\Windows\ServiceProfiles\LocalService\ FileMask: NTUSER.DAT.LOG* - Name: Network Service registry hive Category: Registry Path: C:\Windows\ServiceProfiles\NetworkService\ FileMask: NTUSER.DAT - Name: Network Service registry hive Category: Registry Path: C:\Windows.old\Windows\ServiceProfiles\NetworkService\ FileMask: NTUSER.DAT - Name: Network Service registry transaction files Category: Registry Path: C:\Windows\ServiceProfiles\NetworkService\ FileMask: NTUSER.DAT.LOG* - Name: Network Service registry transaction files Category: Registry Path: C:\Windows.old\Windows\ServiceProfiles\NetworkService\ FileMask: NTUSER.DAT.LOG* - Name: System Restore Points Registry Hives (XP) Category: Registry Path: C:\System Volume Information\_restore*\RP*\snapshot\ FileMask: _REGISTRY_* ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明。windows.oldが追加されている ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/RegistryHivesUser.tkape ### 解説主要なユーザレジストリ ### Artifact Location ``` Name: NTUSER.DAT registry hive XP Category: Registry Path: C:\Documents and Settings\%user%\ FileMask: NTUSER.DAT - Name: NTUSER.DAT registry hive Category: Registry Path: C:\Users\%user%\ FileMask: NTUSER.DAT - Name: NTUSER.DAT registry transaction files Category: Registry Path: C:\Users\%user%\ FileMask: NTUSER.DAT.LOG* - Name: NTUSER.DAT DEFAULT registry hive Category: Registry Path: C:\Windows\System32\config\ FileMask: DEFAULT - Name: NTUSER.DAT DEFAULT registry hive Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: DEFAULT - Name: NTUSER.DAT DEFAULT transaction files Category: Registry Path: C:\Windows\System32\config\ FileMask: DEFAULT.LOG* - Name: NTUSER.DAT DEFAULT transaction files Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: DEFAULT.LOG* - Name: UsrClass.dat registry hive Category: Registry Path: C:\Users\%user%\AppData\Local\Microsoft\Windows\ FileMask: UsrClass.dat - Name: UsrClass.dat registry transaction files Category: Registry Path: C:\Users\%user%\AppData\Local\Microsoft\Windows\ FileMask: UsrClass.dat.LOG* ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明。windows.oldが追加されている ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/RegistryHivesUser.tkape ### 解説ユーザのレジストリやリンクファイルなど、詰め込んだやつ ### Artifact Location ``` Name: NTUSER.DAT registry hive Category: Registry Path: C:\ FileMask: NTUSER.DAT Recursive: true - Name: NTUSER.DAT registry transaction files Category: Registry Path: C:\ FileMask: NTUSER.DAT.LOG* Recursive: true - Name: NTUSER.DAT DEFAULT registry hive Category: Registry Path: C:\ FileMask: DEFAULT Recursive: true - Name: NTUSER.DAT DEFAULT transaction files Category: Registry Path: C:\ FileMask: DEFAULT.LOG* Recursive: true - Name: UsrClass.dat registry hive Category: Registry Path: C:\ FileMask: UsrClass.dat Recursive: true - Name: UsrClass.dat registry transaction files Category: Registry Path: C:\ FileMask: UsrClass.dat.LOG* Recursive: true - Name: LNK Files Category: LNKFiles Path: C:\ FileMask: '*.LNK' Recursive: true - Name: Word Autosave Location Category: FileKnowledge Path: C:\AppData\Roaming\Microsoft\Word\ - Name: Excel Autosave Location Category: ApplicationCompatibility Path: C:\AppData\Roaming\Microsoft\Word\ - Name: Powerpoint Autosave Location Category: FileKnowledge Path: C:\AppData\Roaming\Microsoft\Word\ - Name: Publisher Autosave Location Category: FileKnowledge Path: C:\AppData\Roaming\Microsoft\Word\ - Name: Publisher Autosave Location Category: FileKnowledge Path: C:\*\AppData\Roaming\Microsoft\Word\ - Name: Office Document Cache Category: FileKnowledge Path: C:\AppData\Local\Microsoft\Office\*\OfficeFileCache\ - Name: Office Document Cache Category: FileKnowledge Path: C:\*\AppData\Local\Microsoft\Office\*\OfficeFileCache\ - Name: Chrome bookmarks Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Bookmarks* - Name: Chrome bookmarks Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Bookmarks* - Name: Chrome Cookies Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ Recursive: true FileMask: Cookies* - Name: Chrome Cookies Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ Recursive: true FileMask: Cookies* - Name: Chrome Current Session Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Current Session - Name: Chrome Current Session Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Current Session - Name: Chrome Current Tabs Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Current Tabs - Name: Chrome Current Tabs Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Current Tabs - Name: Chrome Download Metadata Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Download Metadata - Name: Chrome Download Metadata Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Download Metadata - Name: Chrome Extension Cookies Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Extension Cookies - Name: Chrome Extension Cookies Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Extension Cookies - Name: Chrome Favicons Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Favicons* - Name: Chrome Favicons Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Favicons* - Name: Chrome History Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: History* - Name: Chrome History Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: History* - Name: Chrome Last Session Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Last Session - Name: Chrome Last Session Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Last Session - Name: Chrome Last Tabs Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Last Tabs - Name: Chrome Last Tabs Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Last Tabs - Name: Chrome Sessions Folder Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\Sessions\ Recursive: false - Name: Chrome Sessions Folder Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\Sessions\ Recursive: false - Name: Chrome Login Data Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Login Data - Name: Chrome Login Data Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Login Data - Name: Chrome Media History Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Media History* - Name: Chrome Media History Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Media History* - Name: Chrome Network Action Predictor Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Network Action Predictor - Name: Chrome Network Action Predictor Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Network Action Predictor - Name: Chrome Network Persistent State Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Network Persistent State - Name: Chrome Network Persistent State Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Network Persistent State - Name: Chrome Preferences Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Preferences - Name: Chrome Preferences Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Preferences - Name: Chrome Quota Manager Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: QuotaManager - Name: Chrome Quota Manager Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: QuotaManager - Name: Chrome Reporting and NEL Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Reporting and NEL - Name: Chrome Reporting and NEL Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Reporting and NEL - Name: Chrome Shortcuts Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Shortcuts* - Name: Chrome Shortcuts Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Shortcuts* - Name: Chrome Top Sites Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Top Sites* - Name: Chrome Top Sites Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Top Sites* - Name: Chrome Trust Tokens Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Trust Tokens* - Name: Chrome Trust Tokens Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Trust Tokens* - Name: Chrome SyncData Database Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\Sync Data FileMask: SyncData.sqlite3 - Name: Chrome SyncData Database Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\Sync Data FileMask: SyncData.sqlite3 - Name: Chrome Visited Links Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Visited Links - Name: Chrome Visited Links Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Visited Links - Name: Chrome Web Data Category: Communications Path: C:\AppData\Local\Google\Chrome\User Data\*\ FileMask: Web Data* - Name: Chrome Web Data Category: Communications Path: C:\*\AppData\Local\Google\Chrome\User Data\*\ FileMask: Web Data* - Name: Windows Protect Folder Category: FileSystem Path: C:\AppData\Roaming\Microsoft\Protect\*\ Recursive: true Comment: "Required for offline decryption" - Name: Windows Protect Folder Category: FileSystem Path: C:\*\AppData\Roaming\Microsoft\Protect\*\ Recursive: true Comment: "Required for offline decryption" - Name: Edge folder Category: Communications Path: C:\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\ Recursive: true - Name: Edge folder Category: Communications Path: C:\*\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe\ Recursive: true - Name: Amcache Category: ApplicationCompatibility Path: C:\ FileMask: Amcache.hve Recursive: true - Name: Amcache transaction files Category: ApplicationCompatibility Path: C:\ FileMask: Amcache.hve.LOG* Recursive: true - Name: LNK Files from Recent Category: LNKFiles Path: C:\AppData\Roaming\Microsoft\Windows\Recent\ Recursive: true - Name: LNK Files from Recent Category: LNKFiles Path: C:\*\AppData\Roaming\Microsoft\Windows\Recent\ Recursive: true - Name: LNK Files from Microsoft Office Recent Category: LNKFiles Path: C:\AppData\Roaming\Microsoft\Office\Recent\ Recursive: true - Name: LNK Files from Microsoft Office Recent Category: LNKFiles Path: C:\*\AppData\Roaming\Microsoft\Office\Recent\ Recursive: true - Name: Desktop LNK Files Category: LNKFiles Path: C:\ FileMask: '*.LNK' Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（不要) * フルフォレンジック対象：(不要） ### 判断理由 Cドライブでrecursiveに探索しているため、時間がかかりそう。あと他のtargetで取得できる。 ### ToDo 不要 ## Targets/Windows/SDB.tkape ### 解説 SDB(Shim Database)のファイル https://www.mandiant.com/resources/blog/fin7-shim-databases-persistence ツールで閲覧できる https://github.com/williballenthin/python-sdb ### Artifact Location ``` Name: SDB Files Category: Executables Path: C:\Windows\apppatch\Custom\ FileMask: '*.sdb' - Name: SDB Files Category: Executables Path: C:\Windows.old\Windows\apppatch\Custom\ FileMask: '*.sdb' - Name: SDB Files x64 Category: Executables Path: C:\Windows\apppatch\Custom\Custom64\ FileMask: '*.sdb' - Name: SDB Files x64 Category: Executables Path: C:\Windows.old\Windows\apppatch\Custom\Custom64\ FileMask: '*.sdb' ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由悪用されうるため windows.oldが加えられている ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/SRUM.tkape ### 解説 SRUM ### Artifact Location ``` Name: SRUM Category: Execution Path: C:\Windows\System32\SRU\ Recursive: true - Name: SRUM Category: Execution Path: C:\Windows.old\Windows\System32\SRU\ Recursive: true - Name: SOFTWARE registry hive Category: Registry Path: C:\Windows\System32\config\ FileMask: SOFTWARE - Name: SOFTWARE registry hive Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: SOFTWARE - Name: SOFTWARE registry transaction files Category: Registry Path: C:\Windows\System32\config\ FileMask: SOFTWARE.LOG* - Name: SOFTWARE registry transaction files Category: Registry Path: C:\Windows.old\Windows\System32\config\ FileMask: SOFTWARE.LOG* ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明 windows.oldが加えられている ### ToDo 新しく増えた箇所をtargetに追加ただしsoftwareレジストリ関連は他で取得しているため不要 ## Targets/Windows/SUM.tkape ### 解説 Windows User Access Logs(UAL) ：Windowsサーバの機能で、ユーザのアクティビティをロギングするというもの。DFIRに使える旨の記事あり https://advisory.kpmg.us/blog/2021/digital-forensics-incident-response.html https://svch0st.medium.com/windows-user-access-logs-ual-9580f1100635 parse tool https://github.com/EricZimmerman/Sum ### Artifact Location ``` Name: SUM Database (.mdb files) Category: Logs Path: C:\Windows\System32\LogFiles\SUM FileMask: '*.mdb' Comment: "Grabs Current.mdb, SystemIdentity.mdb, and [GUID].mdb" ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由使えそう ### ToDo ~~targetに追加~~ →UserAccessLogging.tkapeで作成されていた ## Targets/Windows/ScheduledTasks.tkape ### 解説タスクスケジューラのデータ ### Artifact Location ``` Name: at .job Category: Persistence Path: C:\Windows\Tasks\ FileMask: '*.job' - Name: at .job Category: Persistence Path: C:\Windows.old\Windows\Tasks\ FileMask: '*.job' - Name: at SchedLgU.txt Category: Persistence Path: C:\Windows\ FileMask: SchedLgU.txt - Name: at SchedLgU.txt Category: Persistence Path: C:\Windows.old\Windows\ FileMask: SchedLgU.txt - Name: XML Category: Persistence Path: C:\Windows\System32\Tasks\ Recursive: true - Name: XML Category: Persistence Path: C:\Windows.old\Windows\System32\Tasks\ Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明 ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/SignatureCatalog.tkape ### 解説セキュリティカタログ ### Artifact Location ``` Name: SignatureCatalog Category: FileMetadata Path: C:\Windows\System32\CatRoot\ Recursive: true - Name: SignatureCatalog Category: FileMetadata Path: C:\Windows.old\Windows\System32\CatRoot\ Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明 windows.old増えてる ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/SnipAndSketch.tkape ### 解説スクショでキャッシュされた画像ファイル ### Artifact Location ``` Name: Snip & Sketch Category: FileKnowledge Path: C:\Users\*\AppData\Local\Packages\Microsoft.ScreenSketch_8wekyb3d8bbwe\TempState\ FileMask: '*.png' Comment: "Pulls all temporary .png images generated by the Snip & Sketch screen capture tool built into Windows" ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由迷うが、インタラクティブログオンで侵害されたときに手がかりとなる情報があるかもしれない ### ToDo targetに追加 ## Targets/Windows/StartupFolders.tkape ### 解説スタートアップフォルダ ### Artifact Location ``` Name: User startup folders Category: Persistence Path: C:\Users\%user%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup - Name: System-wide startup folder Category: Persistence Path: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明 ### ToDo targetに追加 ## Targets/Windows/StartupInfo.tkape ### 解説 startupinfo ### Artifact Location ``` Name: StartupInfo XML Files Category: Persistence Path: C:\Windows\System32\WDI\LogFiles\StartupInfo\ FileMask: '*.xml' - Name: StartupInfo XML Files Category: Persistence Path: C:\Windows.old\Windows\System32\WDI\LogFiles\StartupInfo\ FileMask: '*.xml' ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明 windows.old追加 ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/Syscache.tkape syscache。取得済み ## Targets/Windows/ThumbCache.tkape Thumbcache。取得済み ## Targets/Windows/USBDevicesLogs.tkape ### 解説 USBデバイスのログ（setupapi.log） ### Artifact Location ``` Name: Setupapi.log XP Category: USBDevices Path: C:\Windows\ FileMask: setupapi.log - Name: Setupapi.log Win7+ Category: USBDevices Path: C:\Windows\inf\ FileMask: setupapi.dev.log - Name: Setupapi.log Win7+ Category: USBDevices Path: C:\Windows.old\Windows\inf\ FileMask: setupapi.dev.log ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明 windows.old追加 ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/VirtualDisks.tkape ### 解説 VM Diskの取得 ### Artifact Location ``` Name: VHD Category: Disk Images Path: C:\ FileMask: '*.VHD' Recursive: true - Name: VHDX Category: Disk Images Path: C:\ FileMask: '*.VHDX' Recursive: true - Name: VDI Category: Disk Images Path: C:\ FileMask: '*.VDI' Recursive: true - Name: VMDK Category: Disk Images Path: C:\ FileMask: '*.VMDK' Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（不要) * フルフォレンジック対象：(内容調査） ### 判断理由 Cドライブからrecursiveに探している。ファストでvm diskファイルは不要 ### ToDo 不要 ## Targets/Windows/WBEM.tkape ### 解説 Web-based Enterprise Management (WBEM) WMIリポジトリが格納されている https://github.com/davidpany/WMI_Forensics ### Artifact Location ``` Name: WBEM Category: WBEM Path: C:\Windows\System32\wbem\Repository\ Recursive: true - Name: WBEM Category: WBEM Path: C:\Windows.old\Windows\System32\wbem\Repository\ Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明 windows.old追加 ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/WER.tkape ### 解説 Windows Error Reportingで出力されるレポートが出力される ### Artifact Location ``` Name: WER Files Category: Executables Path: C:\ProgramData\Microsoft\Windows\WER\ Recursive: true - Name: Crash Dumps Category: SQL Exploitation Path: C:\Users\%user%\AppData\Local\CrashDumps\ FileMask: '*.dmp' - Name: Crash Dumps Category: SQL Exploitation Path: C:\Windows\ FileMask: '*.dmp' - Name: Crash Dumps Category: SQL Exploitation Path: C:\Windows.old\Windows\ FileMask: '*.dmp' ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明 windows.old追加 ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/WindowsFirewall.tkape ### 解説 windows firewallのログ ### Artifact Location ``` Name: Windows Firewall Logs Category: WindowsFirewallLogs Path: C:\Windows\System32\LogFiles\Firewall\ FileMask: pfirewall.* - Name: Windows Firewall Logs Category: WindowsFirewallLogs Path: C:\Windows.old\Windows\System32\LogFiles\Firewall\ FileMask: pfirewall.* ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明 windows.old追加 ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/WindowsIndexSearch.tkape ### 解説 windows index searchのDB。 ### Artifact Location ``` Name: WindowsIndexSearch Category: FileKnowledge Path: C:\programdata\microsoft\search\data\applications\windows\ - Name: GatherLogs Category: FileKnowledge Path: C:\programdata\microsoft\search\data\applications\windows\GatherLogs\ Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明取得する対象が広がっている ### ToDo 新しく増えた箇所をtargetに追加 ## Targets/Windows/WindowsIndexSearch.tkape Windows 10 Notification DB 取得済み ## Targets/Windows/WindowsOSUpgradeArtifacts.tkape ### 解説 windowsのOSアップグレードに関するログ ### Artifact Location ``` Name: MigLog.xml Category: OS Upgrade Path: C:\Windows\Panther FileMask: MigLog.xml - Name: Setupact.log Category: OS Upgrade Path: C:\Windows\Panther FileMask: Setupact.log - Name: HumanReadable.xml Category: OS Upgrade Path: C:\Windows\Panther FileMask: "*HumanReadable.xml" - Name: FolderMoveLog.txt Category: OS Upgrade Path: C:\Windows\Panther\Rollback FileMask: FolderMoveLog.txt - Name: Update Store.db Category: OS Upgrade Path: C:\ProgramData\USOPrivate\UpdateStore FileMask: store.db ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由自明 ### ToDo targetに追加 ## Targets/Windows/WindowsPowerDiagnostics.tkape ### 解説 windows の電源効率の診断レポート。電力消費が激しいプロセスを取得できる可能性がある ### Artifact Location ``` Name: Windows Power Diagnostics Category: Diagnostics Path: C:\ProgramData\Microsoft\Windows\Power Efficiency Diagnostics Recursive: true ``` ### 調査要否 * ファストフォレンジック対象：（内容調査) * フルフォレンジック対象：(内容調査） ### 判断理由使える可能性がある ### ToDo targetに追加 ## Targets/Windows/WindowsTelemetryDiagnosticsLegacy.tkape ### 解説 windows のテレメトリや診断に関する情報？ ### Artifact Location ``` Name: Legacy .rbs files relating to Windows Telemetry and Diagnostics Category: SystemEvents Path: C:\ProgramData\Microsoft\Diagnosis\ FileMask: 'events*.rbs' - Name: Legacy .rbs files relating to Windows Telemetry and Diagnostics Category: SystemEvents Path: C:\Windows.old\ProgramData\Microsoft\Diagnosis\ FileMask: 'events*.rbs' ``` ### 調査要否 * ファストフォレンジック対象：（存在チェックのみ) * フルフォレンジック対象：(内容調査） ### 判断理由情報が無く、役に立つか不明 ### ToDo reporterに追加 ## Targets/Windows/WindowsTimeline.tkape windows timeline 取得済み ## Targets/Windows/XPRestorePoints.tkape c:\system volume information フォルダ取得済み