سبق 1ਸਮੇਂ ਦੀ ਲਾਈਨ ਬਣਾਉਣ ਲਈ ਆਰਟੀਫੈਕਟਸ: ਫਾਈਲ ਟਾਈਮਸਟੈਂਪਸ (MFT, $STANDARD_INFORMATION, $FILE_NAME), RecentDocs, ShimCache, Prefetch, ਵਿੰਡੋਜ਼ ਸਰਚ ਇੰਡੈਕਸ, ShimCache ਅਤੇ AmCacheਇਹ ਭਾਗ ਫੋਰੈਂਸਿਕ ਸਮੇਂ ਦੀਆਂ ਲਾਈਨਾਂ ਬਣਾਉਣ ਲਈ ਵਰਤੇ ਜਾਂਦੇ ਆਰਟੀਫੈਕਟਸ ਉੱਤੇ ਧਿਆਨ ਕੇਂਦ੍ਰਿਤ ਕਰਦਾ ਹੈ। ਤੁਸੀਂ NTFS ਟਾਈਮਸਟੈਂਪਸ, Prefetch, ShimCache, AmCache, RecentDocs ਅਤੇ ਵਿੰਡੋਜ਼ ਸਰਚ ਇੰਡੈਕਸ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰੋਗੇ ਤਾਂ ਜੋ ਯੂਜ਼ਰ ਅਤੇ ਪ੍ਰੋਸੈੱਸ ਐਕਟੀਵਿਟੀ ਨੂੰ ਸਮੇਂ ਨਾਲ ਮੁੜ ਨਿਰਮਾਣ ਕੀਤਾ ਜਾ ਸਕੇ।
NTFS $STANDARD_INFORMATION timestamps$FILE_NAME timestamps and MAC timesPrefetch files and program executionShimCache and AmCache execution tracesRecentDocs and user document activityWindows Search index for file historyسبق 2ਮਿਟਾਏ ਅਤੇ ਅਨਾਲੌਕੇਟਿਡ ਸਪੇਸ ਰਿਕਵਰੀ: ਕਾਰਵਿੰਗ ਤਕਨੀਕਾਂ, photorec/Scalpel, $MFT ਅਤੇ ਸਲੈਕ ਸਪੇਸ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣਇਹ ਭਾਗ ਵਿੰਡੋਜ਼ ਸਿਸਟਮਾਂ ਤੋਂ ਮਿਟਾਏ ਡਾਟਾ ਦੀ ਰਿਕਵਰੀ ਨੂੰ ਕਵਰ ਕਰਦਾ ਹੈ, ਜਿਸ ਵਿੱਚ ਅਨਾਲੌਕੇਟਿਡ ਅਤੇ ਸਲੈਕ ਸਪੇਸ ਸ਼ਾਮਲ ਹੈ। ਤੁਸੀਂ ਕਾਰਵਿੰਗ ਸੰਕਲਪਾਂ, PhotoRec ਅਤੇ Scalpel ਵਰਗੇ ਟੂਲਾਂ ਦੀ ਵਰਤੋਂ ਅਤੇ MFT ਵਿਸ਼ਲੇਸ਼ਣ ਨਾਲ ਰਿਕਵਰੀ ਨੂੰ ਸਮਰਥਨ ਬਾਰੇ ਸਿੱਖੋਗੇ।
Unallocated and slack space fundamentalsFile carving principles and limitationsUsing PhotoRec for file recoveryUsing Scalpel with custom carve rulesAnalyzing $MFT records for recoveryValidating and triaging carved filesسبق 3ਯੂਜ਼ਰ ਅਕਾਊਂਟ ਅਤੇ ਪ੍ਰਮਾਣੀਕਰਨ ਆਰਟੀਫੈਕਟਸ: SAM, NTDS (ਡੋਮੇਨ), ਵਿੰਡੋਜ਼ ਇਵੈਂਟ ਲੌਗ (4624/4634/4648), ਸੁਰੱਖਿਆ ਅਤੇ Sysmon ਘਟਨਾਵਾਂਇਹ ਭਾਗ ਵਿੰਡੋਜ਼ ਯੂਜ਼ਰ ਅਤੇ ਪ੍ਰਮਾਣੀਕਰਨ ਆਰਟੀਫੈਕਟਸ ਨੂੰ ਕਵਰ ਕਰਦਾ ਹੈ। ਤੁਸੀਂ SAM ਅਤੇ NTDS ਡਾਟਾ, ਲੌਗਆਨ ਅਤੇ ਲੌਗਆਫ਼ ਘਟਨਾਵਾਂ, ਸੁਰੱਖਿਆ ਅਤੇ Sysmon ਲੌਗਾਂ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰੋਗੇ ਅਤੇ ਘਟਨਾ ਆਈਡੀਆਂ ਨੂੰ ਕੋਰੀਲੇਟ ਕਰੋਗੇ ਤਾਂ ਜੋ ਐਕਟੀਵਿਟੀ ਨੂੰ ਵਿਸ਼ੇਸ਼ ਅਕਾਊਂਟਾਂ ਅਤੇ ਸੈਸ਼ਨਾਂ ਨਾਲ ਜੋੜਿਆ ਜਾ ਸਕੇ।
SAM hive and local account informationNTDS.dit and domain account evidenceSecurity logon events 4624 and 4634Event 4648 and explicit credential useSysmon events for logon and process dataCorrelating logons with workstation useسبق 4ਫਾਈਲ ਸਿਸਟਮ ਵਿਸ਼ਲੇਸ਼ਣ: NTFS ਮੈਟਾਡਾਟਾ, MFT ਐਂਟਰੀਆਂ, USN ਜਰਨਲ, ਗੋਪਨੀਯਤਾ ਪ੍ਰਤੀਵੇਦਨਾਂ ਲਈ ਸੰਭਾਵਿਤ ਸਟੋਰੇਜ ਵਾਲੀਆਂ ਫਾਈਲਾਂ/ਫੋਲਡਰਾਂਇਹ ਭਾਗ ਜਾਂਚਾਂ ਨਾਲ ਸੰਬੰਧਿਤ NTFS ਫਾਈਲ ਸਿਸਟਮ ਆਰਟੀਫੈਕਟਸ ਦੀ ਜਾਂਚ ਕਰਦਾ ਹੈ। ਤੁਸੀਂ MFT ਬਣਤਰ, ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ, USN ਜਰਨਲ ਅਤੇ ਗੋਪਨੀਯਤਾ ਪ੍ਰਤੀਵੇਦਨਾਂ ਲਈ ਆਮ ਸਟੋਰੇਜ ਲੋਕੇਸ਼ਨਾਂ ਦਾ ਅਧਿਐਨ ਕਰੋਗੇ ਤਾਂ ਜੋ ਮੁੱਖ ਸਬੂਤ ਨੂੰ ਲੱਭੋ, ਵੈਲੀਡੇਟ ਕਰੋ ਅਤੇ ਵਿਆਖਿਆ ਕਰੋ।
NTFS metadata structures and attributesMaster File Table layout and entriesUSN Journal change records and parsingAlternate data streams and hidden dataCommon locations for user documentsIdentifying likely confidential report pathsسبق 5ਇੰਸਟਾਲ ਕੀਤਾ ਸੌਫਟਵੇਅਰ ਅਤੇ ਪਰਸਿਸਟੈਂਸ: ਇੰਸਟਾਲ ਕੀਤੇ ਪ੍ਰੋਗਰਾਮਾਂ ਦੀ ਲਿਸਟ, ਆਟੋਰਨਜ਼, ਸ਼ੈਡਿਊਲਡ ਟਾਸਕ, ਸੇਵਾਵਾਂ, PowerShell ਇਤਿਹਾਸ, ਸ਼ੱਕੀ ਐਕਸਫਿਲਟ੍ਰੇਸ਼ਨ ਟੂਲ (rclone, curl, SCP ਕਲਾਇੰਟਸ)ਇਹ ਭਾਗ ਇੰਸਟਾਲ ਕੀਤੇ ਸੌਫਟਵੇਅਰ ਅਤੇ ਪਰਸਿਸਟੈਂਸ ਦੇ ਆਰਟੀਫੈਕਟਸ ਦੀ ਖੋਜ ਕਰਦਾ ਹੈ। ਤੁਸੀਂ ਇੰਸਟਾਲ ਕੀਤੇ ਪ੍ਰੋਗਰਾਮ ਲਿਸਟਾਂ, ਆਟੋਰਨਜ਼, ਸ਼ੈਡਿਊਲਡ ਟਾਸਕਾਂ, ਸੇਵਾਵਾਂ ਅਤੇ PowerShell ਇਤਿਹਾਸ ਦੀ ਸਮੀਖਿਆ ਕਰੋਗੇ ਤਾਂ ਜੋ ਪਰਸਿਸਟੈਂਸ ਅਤੇ ਡਾਟਾ ਐਕਸਫਿਲਟ੍ਰੇਸ਼ਨ ਟੂਲਾਂ ਨੂੰ ਪਛਾਣਿਆ ਜਾ ਸਕੇ।
Enumerating installed applicationsRegistry and WMI based autorunsScheduled tasks and malicious jobsService creation and modification tracesPowerShell history and script analysisDetecting rclone, curl, and SCP clientsسبق 6ਹਟਾਉਣਯੋਗ ਮੀਡੀਆ ਅਤੇ USB ਆਰਟੀਫੈਕਟਸ: SetupAPI, USBSTOR ਰਿਜਿਸਟਰੀ ਕੀਆਂ, MountPoints2, RecentDocs ਅਤੇ ਲਿੰਕ (.lnk) ਆਰਟੀਫੈਕਟਸਇਹ ਭਾਗ USB ਅਤੇ ਹਟਾਉਣਯੋਗ ਮੀਡੀਆ ਵਰਤੋਂ ਨੂੰ ਪਛਾਣਨ ਅਤੇ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰਨ ਬਾਰੇ ਵਿਆਖਿਆ ਕਰਦਾ ਹੈ। ਤੁਸੀਂ SetupAPI ਲੌਗਾਂ, USBSTOR ਅਤੇ MountPoints2 ਕੀਆਂ, RecentDocs ਅਤੇ LNK ਫਾਈਲਾਂ ਦੀ ਜਾਂਚ ਕਰੋਗੇ ਤਾਂ ਜੋ ਡਿਵਾਈਸ ਕਨੈਕਸ਼ਨਾਂ ਅਤੇ ਫਾਈਲ ਐਕਸੈਸ ਨੂੰ ਜੋੜਿਆ ਜਾ ਸਕੇ।
SetupAPI.dev.log and device installationUSBSTOR registry keys and device profilingMountPoints2 and volume identificationRecentDocs artifacts for file accessLNK files and shortcut target analysisCorrelating USB use with user accountsسبق 7ਬ੍ਰਾਊਜ਼ਰ ਅਤੇ ਕਲਾਉਡ ਸਟੋਰੇਜ ਆਰਟੀਫੈਕਟਸ: Chrome/Edge/Firefox ਇਤਿਹਾਸ, ਡਾਊਨਲੋਡ, ਕੈਸ਼, IndexedDB, WebCacheV01.dat, ਸਿੰਕ ਆਰਟੀਫੈਕਟਸ (OneDrive, Google Drive)ਇਹ ਭਾਗ ਵਿੰਡੋਜ਼ ਉੱਤੇ ਬ੍ਰਾਊਜ਼ਰ ਅਤੇ ਕਲਾਉਡ ਸਟੋਰੇਜ ਆਰਟੀਫੈਕਟਸ ਦੇ ਵੇਰਵੇ ਦਿੰਦਾ ਹੈ। ਤੁਸੀਂ ਇਤਿਹਾਸ, ਕੈਸ਼, ਡਾਊਨਲੋਡਾਂ, ਕੂਕੀਜ਼, IndexedDB, WebCacheV01.dat ਅਤੇ OneDrive ਅਤੇ Google Drive ਤੋਂ ਸਿੰਕ ਟ੍ਰੇਸਾਂ ਦਾ ਵਿਸ਼ਲੇਸ਼ਣ ਕਰੋਗੇ ਤਾਂ ਜੋ ਵੈੱਬ ਅਤੇ ਕਲਾਉਡ ਐਕਟੀਵਿਟੀ ਨੂੰ ਟਰੈਕ ਕੀਤਾ ਜਾ ਸਕੇ।
Chrome, Edge, and Firefox history filesDownload records and transfer tracingBrowser cache, cookies, and local storageIndexedDB and site specific databasesWebCacheV01.dat and IE/Edge artifactsOneDrive and Google Drive sync traces
