Lab-1 windows-forensics

[H4x0r]

السلام عليكم عشان نحل هذا lab البسيط لازم تكون درست :

Windows registery Part - 1
Windows registery Part - 2

تمام رح اطرح السيناريو و الاسئلة عشان نشوف كيف رح نحقق في هذا الجهاز :

One of the Desktops in the research lab at Organization X is suspected to have been accessed by someone unauthorized. Although they generally have only one user account per Desktop, there were multiple user accounts observed on this system. It is also suspected that the system was connected to some network drive, and a USB device was connected to the system. The triage data from the system was collected and placed on the attached VM. Can you help Organization X with finding answers to the below questions?

1-How many user created accounts are present on the system?
2- What is the username of the account that has never been logged in?
3-What’s the password hint for the user THM-4n6?
4-When was the file ‘Changelog.txt’ accessed?
5-What is the complete path from where the python 3.8.2 installer was run?

خلينا نبلش في واحد بل حقيقة لو تشوف اول 3 اسئلة ممكن نجاوبها من مكان واحد ايواااا
بدي ياك تربط الامور هو طالب
كم حساب عندي ؟ و شو الحساب يلي ما سجل دخول؟ و شو كلمة سر حساب THM-4n6
اذا نتذكر مع بعض حكينا key → SAM بعطيني الحسابات يلي في الجهاز و متى سجلو دخول و متى عملو لحساب و متى سجلو دخزل صح و متى غلط و هاي التفاصيل يعني من SAM بقدر اعرف كل الامور هاي طيب خلينا نروح نشوفو

SAM\Domains\Account\Users

1- كم حساب في على الجهاز ؟ – 3
2- مين الحساب يلي ما سجل دخول ؟ – thm-user2
3 - شو كلمة سر حساب THM-4n6 ؟ count

الامور بسيطة .

نيجي لسؤال
4- متى تم فتح Changelog.txt ؟
اذا بنتذكر برضو حكينا عن Recent Files:

خلينا نشوفو هي الباث تبعو :

NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs

رح تحكيلي طيب لا انو يوزر بدي احلل بقلك THM-4n6 لانو اذا شفت هو كان تركيز عليه حتى في SAM هو الاكثر نشاط :

هي الملف :

2021-11-24 18:18:48

اسؤال 5 : بدو السمار كامل لل python 3.8.2 يلي تم تشغيلو
برضو منروح ع Recernt بس ع App

Z:\setups\python-3.8.2.exe

و بس هو lab بسيط جدا بس عشان نشوف كيف ممكن نبحث عن المعلومات .

 

[STORMSTORM is verified member.]

يا مان @H4x0r اعتقد انا مش لازم اتابع مواضيعك لأنك بلشت تحببني بال Blue وهيك رح اترك كل شي

 

[H4x0r]

لسا هاي بداية تسخين القادم اجمل ان شاء الله

 

[STORMSTORM is verified member.]

ما عندي ادنى شك بقوة القادم بإذن الله