Lab-1 windows-forensics

H4x0r

./ عضو
.:: اداري سابق ::.

السلام عليكم عشان نحل هذا lab البسيط لازم تكون درست :

Windows registery Part - 1
Windows registery Part - 2

تمام رح اطرح السيناريو و الاسئلة عشان نشوف كيف رح نحقق في هذا الجهاز :

One of the Desktops in the research lab at Organization X is suspected to have been accessed by someone unauthorized. Although they generally have only one user account per Desktop, there were multiple user accounts observed on this system. It is also suspected that the system was connected to some network drive, and a USB device was connected to the system. The triage data from the system was collected and placed on the attached VM. Can you help Organization X with finding answers to the below questions?
1-How many user created accounts are present on the system?
2- What is the username of the account that has never been logged in?
3-What’s the password hint for the user THM-4n6?
4-When was the file ‘Changelog.txt’ accessed?
5-What is the complete path from where the python 3.8.2 installer was run?
خلينا نبلش في واحد بل حقيقة لو تشوف اول 3 اسئلة ممكن نجاوبها من مكان واحد ايواااا
بدي ياك تربط الامور هو طالب
كم حساب عندي ؟ و شو الحساب يلي ما سجل دخول؟ و شو كلمة سر حساب THM-4n6
اذا نتذكر مع بعض حكينا key → SAM بعطيني الحسابات يلي في الجهاز و متى سجلو دخول و متى عملو لحساب و متى سجلو دخزل صح و متى غلط و هاي التفاصيل يعني من SAM بقدر اعرف كل الامور هاي طيب خلينا نروح نشوفو
SAM\Domains\Account\Users
1700513870054.png
1- كم حساب في على الجهاز ؟ – 3
2- مين الحساب يلي ما سجل دخول ؟ – thm-user2
3 - شو كلمة سر حساب THM-4n6 ؟ count

الامور بسيطة .

نيجي لسؤال
4- متى تم فتح Changelog.txt ؟
اذا بنتذكر برضو حكينا عن Recent Files:

خلينا نشوفو هي الباث تبعو :
NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs
رح تحكيلي طيب لا انو يوزر بدي احلل بقلك THM-4n6 لانو اذا شفت هو كان تركيز عليه حتى في SAM هو الاكثر نشاط :
1700513875395.png

هي الملف :

1700566507750.png


2021-11-24 18:18:48

اسؤال 5 : بدو السمار كامل لل python 3.8.2 يلي تم تشغيلو
برضو منروح ع Recernt بس ع App
1700513905993.png
Z:\setups\python-3.8.2.exe

و بس هو lab بسيط جدا بس عشان نشوف كيف ممكن نبحث عن المعلومات .
 
التعديل الأخير بواسطة المشرف:

يا مان @H4x0r اعتقد انا مش لازم اتابع مواضيعك لأنك بلشت تحببني بال Blue وهيك رح اترك كل شي 😦
 
التعديل الأخير:

لسا هاي بداية تسخين القادم اجمل ان شاء الله
 

المرفقات

  • image.png
    image.png
    167.5 KB · المشاهدات: 59
  • ab.pdf
    ab.pdf
    1.4 KB · المشاهدات: 79
  • image.png
    image.png
    9 KB · المشاهدات: 61

ما عندي ادنى شك بقوة القادم بإذن الله 🤍
 

عودة
أعلى أسفل