<aside> <img src="/icons/home_lightgray.svg" alt="/icons/home_lightgray.svg" width="40px" /> HOME

Forensic Tools

Penetration Tools

Vulnerabilities & CVE

BB & Other

CTF

Blog & Books (KNiggas)

About(CV)

</aside>

<aside> <img src="/icons/list-indent_blue.svg" alt="/icons/list-indent_blue.svg" width="40px" /> Table of Contents

</aside>

ToolAnalysisResultSheet

Tool Analysis Result Sheet

Autorun

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnce

RDP

❗All RDP connections

Current PC RDP connections

Success RDP connections

Powershell History

(Get-PSReadlineOption).HistorySavePath

%userprofile%\\AppData\\Roaming\\Microsoft\\Windows\\PowerShell\\PSReadline\\ConsoleHost_history.txt

Hash Sum (используйте SHA256)

Зачастую на исследуемых ОС Windows нет предустановленного инструментария для проверки чек сумм файлов, это возможно реализовать средствами 7z (CRC SHA) архиватора например. Вот команды Powershell 7.4

Porshell

Get-FileHash C:\\Users\\Administrador\\Downloads\\LBB.exe
Get-FileHash .\\Windows\\*.exe
Get-ChildItem -Path C:\\mimi* -Recurse -Filter *.exe | Get-FileHash
Compare-Object -Ref $WindowsExesOnly -Dif $SecondLevelExes -Property Name,Hash -PassThru | Select-Object SideIndicator,Name,Hash,Length

Certutil

certutil.exe -hashfile "C:\\Users\\Administrador\\Downloads\\LBB.exe" SHA256