
StandardStart
Binary data in SYSTEMTIME format used to identify the date/time that Standard Time will commence in this time zone.
DaylightStart
Binary data in SYSTEMTIME structure used to identify the date/time that Daylight Saving will commence in this time zone.
Daylight Saving / Standard Time Start Dates
Looking at Figure 10 below, you can see two keys entitled DaylightStart and StandardStart. They hold encoded data showing the exact commencement date/time of Daylight Saving and Standard Time. To establish when daylight saving starts and ends, both keys will need to be decoded.
![]()
H:\Downloads> more < test.exe:Zone.Identifier
[ZoneTransfer]
ZoneId=3You can find them using dir /r on Windows Vista and later:
2009-10-24 12:18 54.538.056 test.exe 24 test.exe:Zone.Identifier:$DATAAlso in CMD you can easily get rid of that by overwriting it (using output redirection, this time):
echo.>myDownloadedFile.exe:Zone.Identifierwhich isn’t quite the same as removing the ADS completely, but works in that Explorer doesn’t complain anymore.
There doesn’t seem to be native support for handling ADS from within PowerShell (as mentioned on The PowerShell Guy’s blog here. That article also has some information how to get that functionality in PowerShell). You could, however, simply call cmd:
cmd /c "echo.>test.exe:Zone.Identifier"That works from PowerShell as well.
Another option would be Mark Russinovich’s streams utility which allows you to inspect a file’s ADS and also to delete them. So
streams -d myDownloadedFile.exedoes work as well.
Introduction to Time Zone Identification
In a digital forensic examination, establishing which Time Zone the system had been set to should one of the first examination tasks. If this information is not established at an early stage and taken into account, the validity of Date/Time evidence may be brought into question. Not only is this true for the examination of Browser History and related artefacts, it is also important when examining file system metadata.
I also believe this is something every examiner should be able to do manually, as opposed to relying on point and click or script forensics. Whilst point and click certainly has a place and software tools can greatly increase the efficiency of the examination process, digital forensic practitioners need to possess the skills and ability to verify the results.
Some Date/Time values stored in binary files are affected by the Time Zone setting of the original suspect computer and many digital forensic applications can alter the representation of these dates by the Time Zone setting of the forensic workstation.
This becomes particularly complicated when the suspect computer was set to an incorrect Time Zone and the computer clock was set to correspond to the Local Time Zone. Many of the Date/Time stamps store the data as UTC values. In such circumstances, the Operating System (or application) has to convert the value from Local time to UTC.
In FAT file system – used by old versions of windows – file consisted of 2 elements: attributes and data.
In NTFS it i different – file consists of attributes, security settings, main stream and alternate streams. By default, only the main stream is visible.
testfile.txt:hidden_stream” srcset=”https://hshrzd.files.wordpress.com/2016/03/ads.png?w=584 584w, https://hshrzd.files.wordpress.com/2016/03/ads.png?w=150 150w, https://hshrzd.files.wordpress.com/2016/03/ads.png?w=400 400w, https://hshrzd.files.wordpress.com/2016/03/ads.png 634w” sizes=”(max-width: 584px) 100vw, 584px”>
Let’s list the directory and see the newly created file (test.txt)

As we can notice, the file length is displayed as 0 bytes. If we try to open this file by some text editor (i.e notepad) we can see that it is empty. Does it really have something inside? Let’s confirm:
<img aria-describedby="caption-attachment-1830" data-attachment-id="1830" data-permalink="https://hshrzd.wordpress.com/2016/03/19/introduction-to-ads-alternate-data-streams/ads_display-2/" data-orig-file="https://hshrzd.files.wordpress.com/2016/03/ads_display1.png" data-orig-size="372,35" data-comments-opened="1" data-image-meta="{"aperture":"0","credit":"","camera":"","caption":"","created_timestamp":"0","copyright":"","focal_length":"0","iso":"0","shutter_speed":"0","title":"","orientation":"0"}" data-image-title="ADS_display" data-image-description="" data-image-caption="" data-medium-file="https://hshrzd.files.wordpress.com/2016/03/ads_display1.png?w=372" data-large-file="https://hshrzd.files.wordpress.com/2016/03/ads_display1.png?w=372" src="https://hshrzd.files.wordpress.com/2016/03/ads_display1.png?w=584" alt="more
more < test.txt:hidden_stream
Now, finally, our text showed up.
So, how we will find out what are the alternate data streams available in particular files? There are several tools dedicated to reading and editing ADS, but if we don’t want to bother about it, we can just use a command dir, with an appropriate parameter:

dir /R – display alternate data streams of the file

Now we can see the same file, test.txt, listed twice: once with a size 0, and then again – with the size 35, with the ADS name added.
We can edit the file in a normal way, and the alternative stream will stay untouched. By the same way we can create several streams.

What is an Alternate Data Stream?
As we know, files stored on an NTFS file system can have many different attribute types, these are the building blocks for the file. One of these attributes is $DATA, or simply called the data attribute. It is the part of the file where the actual data is stored. This data stream, sometimes referred to as the primary data stream, or more accurately the unnamed data stream, has no name associated with it. However, the NTFS file system supports multiple data streams, where the stream name identifies a new data attribute of a file. So how do we access these alternate streams?
Добавить комментарий
Заполните форму для добавления комментария
StandardName
The Operating System uses this name during daylight saving months to display the current time zone setting.
Summary
The Zone.Identifier stream, associated with a download, contains a rich store of properties that may be relevant to an investigation. NetAnalysis® provides an easy way to examine, and perform analysis on these streams. HstEx® allows an easy way to process an entire forensic image (or other source) recovering Zone.Identifier streams contained within live and deleted MFT entries. HstEx® can also recover this data even if the file has been deleted, the volume has been formatted, or the partition deleted.
Locate Available Alternate Data Streams
To locate the available alternate data streams available for a file, you can use the Get-Item cmdlet with the -Stream parameter.
Below you will see the output from the Get-Item cmdlet. It lists the stream available along with the length of the stream. The zap.sh file contains two data streams: $DATA and Zone:Identifier.
Get-Item * -Stream * PSChildName zap.icoZone.IdentifierPSDrive CPSProvider Microsoft.PowerShell.Core\FileSystemPSIsContainer FalseStream Zone.IdentifierLength PSChildName zap.sh::$DATAPSDrive CPSProvider Microsoft.PowerShell.Core\FileSystemPSIsContainer FalseStream $DATALength PSChildName zap.shZone.IdentifierPSDrive CPSProvider Microsoft.PowerShell.Core\FileSystemPSIsContainer FalseStream Zone.IdentifierLength Bias
This value is the normal Time difference from UTC in minutes. This value is the number of minutes that would need to be added to a local time to return it to a UTC value. This value will identify the Master Time Zone (Standard Time).
Read Alternate Data Streams
To read an alternate data stream, you can use the Get-Content cmdlet.
The below example reads an alternate data stream for the zap.sh file.
Zone. Identifier Properties
- AppZoneId
- HostIpAddress
- HostUrl
- LastWriterPackageFamilyName
- ReferrerUrl
- ZoneId
Unblock-File
Case Example
This was demonstrated in a case I was asked to review a number of years ago. A computer had been seized as part of an investigation into abusive images of children. The police had examined the computer correctly and the individual involved had been charged with offences under the Protection of Children Act 1978.
A defence expert examined the forensic image from the computer had declared in his report that the police had tampered with the evidence and alleged that they were responsible for the illegal material as the Date/Time stamps show the material was created on the disk some four hours after it had been seized by police.
My initial examination revealed that the defence expert had not established the Time Zone settings for the system nor had he taken them into account during his examination and subsequent report. If he had, he would have seen that the system was incorrectly set to Pacific Time and not GMT. As far as the Operating System was concerned, the system was in Pacific Time and added 8 hours to the Local times to convert them to UTC. This resulted in the Date/Time stamps being 8 hours in advance of the correct time.
When the defence expert stated the computer had illegal material written to the disk after the system was seized, it was in fact that this had happened some 4 hours prior to the warrant being executed at the home of the suspect.
Recovering Zone. Identifier Data from a Forensic Image
So how do you deal with a situation where the files might have been deleted? What if the suspect has formatted their disk or deleted the partition? This is where HstEx® becomes very useful. Specifically designed to work in conjunction with NetAnalysis® (and is provided as part of the suite), this powerful software can recover deleted data from a variety of sources and can work with unstructured data; this means it can reassemble information from raw data when no filesystem metadata is available.
In NTFS, the $MFT or Master File Table keeps track of every file on the volume. In the case of the ADS holding the Zone Identifier information, this is likely to be resident as it can be quite small in size. When the value can be accessed directly from within the attribute, it is called “resident data”. This data is small enough to be stored within the MFT entry, rather than out in the file system.
With the release of HstEx® v5.1, we have added the ability to search and recover MFT entries containing resident Zone Identifier data. This provides us with a lot of information regarding the original file. The recovered data is easily read into NetAnalysis® for examination. The image below shows a number of recovered Zone Identifier entries. The Information panel shows the associated MFT attribute information along with the Zone Transfer data from the Zone.Identifier stream.

Further Reading
Cheatsheet
Creating ADS from commandline:
echo This is a hidden message > testfile.txt:hidden_stream
Displaying files with their alternative data streams:
dir /r
Displaying stream of a file:
more < testfile.txt:hidden_stream::$DATA
Zone. Identifier
One of the legitimate usages of alternate data streams is Zone.Identifier. It is a feature used to identify the file origin. In case if the file comes from some untrusted source, i.e. have been downloaded from the internet, Windows displays a security warning before it can be run.
There are several variants of Zone.Identifier value:
0 My Computer
1 Local Intranet Zone
2 Trusted sites Zone
3 Internet Zone
4 Restricted Sites Zone
file.exe:Zone.Identifier
Sample content of Zone.Identifier of the file downloaded from the internet:
[ZoneTransfer] ZoneId=3
Calculating Signed Integer Bias Values
Within digital systems, all data, whether they be numbers or characters are represented by strings of binary digits. A problem arises when you want to store negative numbers.
Over the years, hardware designers have developed three different schemes for representing negative numbers: sign and magnitude, ones complement, and twos complement. The most common method for storing negative numbers is twos complement. With this method, the Most Significant Bit (MSB) is used to store the sign.
If the MSB is set, then this represents a NEGATIVE number. This method affords natural arithmetic with no special rules. To represent a negative number in twos complement notation the process is simple:
• Decide upon the number of bits (n)
• Find the binary representation of the +ve value in n-bits
• Flip all the bits (change 1 to 0 and vice versa)
• Add 1
Figure 5 below shows the binary representation of the positive number 5.


This method makes it extremely easy to add positive and negative numbers together. For example:

It also makes it extremely easy to convert between positive and negative numbers:

Daily PowerShell #29
November 14, 2021
Discuss this Article
When you download a file in Windows an alternate data stream call the Zone.Identifier is included within the file but not within the content of the file. This allows Windows to provide additional information about a file without modifying its content.
ActiveTimeBias
This value is the current time difference from UTC in minutes, regardless of whether daylight saving is in effect or not. It is this value that helps establish the current Time Zone settings. Using the formula above, take this value and add it to local time to get the UTC value.
Accessing an Alternate Data Stream
Get-Item -path D:\Downloads\1-6b4b9.zip -stream *
Get-Item -path D:\Downloads\1-6b4b9.zip -stream * | Select-Object -Property Filename, Stream, Length
If we look at the output, we can see two streams, the unnamed data stream and a stream with the name Zone.Identifier. So what is this hidden alternate stream? How did it get attached to this file and what does it contain?
SYSTEMTIME Structure
This data is stored in a common structure called SYTEMTIME. This structure specifies a date and time, using individual members for the month, day, year, weekday, hour, minute, second, and millisecond.
![]()

Bytes 0 & 1 (0x0000 ) refer to the year from a 1900 time base. This is only required if the change is year specific and will normally be zero.
Bytes 2 & 3 (0x0003 ) refer to the month, in this case March.
Bytes 4 & 5 (0x0005) refer to the week (starts at 1 and 5 means last). In this case the last week.
Bytes 6 & 7 (0x0001) refer to the Hour. In this case it is 0100 Hours.
Bytes 8 & 9 (0x0000) refer to the Minutes. In this case it is Zero minutes.
Bytes 10 & 11 (0x0000) refer to the Seconds; in this case it is Zero seconds.
Bytes 12 & 13 (0x0000) refer to the Milliseconds, in this case it is Zero milliseconds.
Bytes 14 & 15 (0x0000) refer to the actual Day of the Week (Sunday = 0). In this case it is Sunday
For our example in Figure 12, Daylight Saving Time (DST) will start on Sunday of the Last Week in March at 0100 Hours. If we had decoded StandardStart, we would see that DST would end on Sunday of the last week of October at 0200 hours.
ZoneId Property
The ZoneId property identifies the URL Security Zone and flags the download according to its respective level of trust. The code below shows the URLZONE enum and the corresponding values:
typedef enum tagURLZONE { URLZONE_INVALID = -1, URLZONE_PREDEFINED_MIN = 0, URLZONE_LOCAL_MACHINE = 0, URLZONE_INTRANET, URLZONE_TRUSTED, URLZONE_INTERNET, URLZONE_UNTRUSTED, URLZONE_PREDEFINED_MAX = 999, URLZONE_USER_MIN = 1000, URLZONE_USER_MAX = 10000
} URLZONE;So what exactly do these values mean? According to Microsoft, they contain all the predefined zones used by Windows Internet Explorer:
- URLZONE_INVALID – This is an invalid zone that is used only if no appropriate zone is available.
- URLZONE_LOCAL_MACHINE – This zone is used for content already on the user’s local computer.
- URLZONE_INTRANET – This zone is used for content found on an intranet.
- URLZONE_TRUSTED – This zone is used for trusted Web sites on the Internet.
- URLZONE_INTERNET – This zone if for content from the Internet, except for Web sites listed in the trusted or restricted zones.
- URLZONE_UNTRUSTED – This zone is used for Web sites that are not trusted.

File in file using ADS
We can also hide another file on the alternate data stream. On the below example – we create a new txt file on another. We can then edit it with typical tools:


Yet, opening the file by default way, we can only see it’s main stream:

We can also paste an existing file on an alternate data stream, by using a command type
Let’s take as an example a demo.dll – it is a 32bit Portable Executable, exporting one function: Test1. We will place it in the alternate stream of test.txt
test.txt:demo” srcset=”https://hshrzd.files.wordpress.com/2016/03/hiding_demo.png 378w, https://hshrzd.files.wordpress.com/2016/03/hiding_demo.png?w=150 150w” sizes=”(max-width: 378px) 100vw, 378px”>
type demo.dll > test.txt:demo
Maybe the alternate stream it is hard to notice – but running it is still very easy:

Example 3
Exactly the same can be done with (malicious) macros:
type malware.vbs > readme.txt:malware.vbs Wscript readme.txt:malware.vbs
Усложнения в IDENTIFIER-файле
![]()
Проблемные проблемы с открытием IDENTIFIER-файлов
Microsoft Windows не установлен
Вы пытаетесь загрузить IDENTIFIER-файл и получить сообщение об ошибке, например «%%os%% не удается открыть расширение файла IDENTIFIER». Если это так, это обычно связано с тем, что у вас нет Microsoft Windows для %%os%%, установленного на вашем компьютере. Типичный путь открытия документа IDENTIFIER двойным щелчком не будет работать, так как %%os%% не может установить подключение к программе.
![]()
Совет. Когда установлено другое приложение IDENTIFIER, вы можете открыть его, выбрав «Показать приложения» и используя эту программу.
Неверная версия Microsoft Windows
Файл Windows Zone Identifier File несовместим с Microsoft Windows, поскольку возможно, установлена неправильная версия. Загрузите последнюю версию Microsoft Windows с веб-сайта Microsoft Corporation, чтобы убедиться, что у вас установлена правильная версия. Эта проблема в основном связана с наличием версии файла Windows Zone Identifier File, которая была создана более новой версией Microsoft Windows, чем то, что вы установили на вашем компьютере.
![]()
Совет: Иногда вы можете получить подсказку о версии IDENTIFIER-файла, который у вас есть, щелкнув правой кнопкой мыши на файле, а затем нажав на «Свойства» (Windows) или «Получить информацию» (Mac OSX).
Сводка. Наличие правильной версии Microsoft Windows на компьютере может вызвать проблемы с открытием IDENTIFIER-файлов.
![]()
Другие причины проблем при открытии IDENTIFIER-файлов
Хотя на вашем компьютере уже может быть установлено Microsoft Windows или другое программное обеспечение, связанное с IDENTIFIER, вы по-прежнему можете столкнуться с проблемами при открытии файлов Windows Zone Identifier File. Могут возникнуть и другие проблемы – не связанные с программным обеспечением – мешающие вам открывать IDENTIFIER-файлы. К числу дополнительных факторов относятся:
- Неверные пути к IDENTIFIER-файлам реестра Windows
- Ошибочное удаление описания реестра Windows IDENTIFIER
- Недопустимая установка программы, связанной с IDENTIFIER (например, Microsoft Windows)
- Повреждение файла, влияющее на IDENTIFIER-файл
- Заражение IDENTIFIER вредоносным ПО
- Оборудование, связанное с IDENTIFIER, имеет устаревшие драйверы устройств
- Недостаточно системных ресурсов для успешного открытия файлов Windows Zone Identifier File
Опрос: Какой тип файла вы используете чаще всего на работе / в школе?


Establishing the Current Time Zone
To establish the Time Zone setting for a Microsoft Windows system, the forensic examiner can examine the SYSTEM registry hive. To do this, you need to establish which ControlSet was active when the computer was seized.

There you will find 4 keys detailing the Current, Default, Failed and LastKnownGood control sets. The current control set in the screen below is set to 3. You can also see the there are three ControlSets numbered 001 to 003.
![]()
Now that this current control set has been identified, we can navigate to that location in the registry and calculate the different values as stored. In this case, the Time Zone settings are stored here:

The Time Zone Information for this Control Set is shown in Figure 4.
![]()

Расширение файла IDENTIFIER

ActiveTimeBias
If we look once again at the ActiveTimeBias in Figure 9, you will see a signed hexadecimal value. This can be calculated using twos complement.

This value is stored in hexadecimal as a 32 bit value, so to work out the value it will need to be converted to binary. Ignore the fact that on this occasion, the registry editor is showing the decimal value (4294967236) next to it; this is purely because the registry editor does not realise the value has been stored as a signed integer.

Convert this to binary:

The MSB is set so we know that the above value will be negative. The next stage is to flip all the bits. This involves changing 1 to 0 and vice versa. This can be achieved quickly using the logical NOT function on a scientific calculator. You must ensure that it is set to deal with the correct number of bits.

Add 1 bit to the value above

And then convert that value back to decimal, remembering that we are dealing with a negative number:

![]()
DisableAutoDaylightTimeSet
This will only be visible if the setting to automatically adjust clock for daylight saving has been switched OFF.
Устранение неполадок при открытии файлов ZONE. IDENTIFIER
![]()
Проблемные проблемы с открытием ZONE.IDENTIFIER-файлов
Отсутствует Microsoft Windows
При двойном щелчке ZONE.IDENTIFIER-файла появится сообщение «%%os%% не удается открыть ZONE.IDENTIFIER-файл». Обычно это связано с тем, что у вас нет Microsoft Windows для %%os%% установлен. Типичный путь открытия документа ZONE.IDENTIFIER двойным щелчком не будет работать, так как %%os%% не может установить подключение к программе.
![]()
Наконечник: Если у вас не установлен Microsoft Windows, и вы знаете другую программу, чтобы открыть файл ZONE.IDENTIFIER, вы можете попробовать открыть его, выбрав из программ, перечисленных в разделе «Показать приложения».
Неверная версия Microsoft Windows
В некоторых случаях может быть более новая (или более старая) версия файла Microsoft Windows Zone Identifier File, которая не поддерживается установленной версией приложения. Вам нужно будет загрузить более новую версию Microsoft Windows, если у вас нет правильной версии. Ваш файл электронной таблицы, вероятно, был создан более новой версией Microsoft Windows, чем то, что в данный момент установлен на вашем компьютере.
![]()
Совет . Исследуйте ZONE.IDENTIFIER-файл, щелкнув правой кнопкой мыши и выбрав «Свойства», чтобы найти подсказки о том, какая версия вам нужна.
Резюме: В любом случае, большинство проблем, возникающих во время открытия файлов ZONE.IDENTIFIER, связаны с отсутствием на вашем компьютере установленного правильного прикладного программного средства.
![]()
Другие причины проблем при открытии ZONE.IDENTIFIER-файлов
Ошибки при открытии файлов Microsoft Windows Zone Identifier File могут возникать даже с последней версией программного обеспечения Microsoft Windows, установленной на вашем компьютере. Могут возникнуть и другие проблемы – не связанные с программным обеспечением – мешающие вам открывать ZONE.IDENTIFIER-файлы. Проблемы, которые не связаны с программным обеспечением:
- Ссылки на файлы в реестре Windows для ZONE.IDENTIFIER неверны
- Ошибочное удаление описания реестра Windows ZONE.IDENTIFIER
- Microsoft Windows или другое приложение ZONE.IDENTIFIER испытали ошибочную установку
- Повреждение файла, влияющее на ZONE.IDENTIFIER-файл
- На ваш документ ZONE.IDENTIFIER негативно повлияли вредоносные программы
- Драйверы устройств для оборудования, связанного с ZONE.IDENTIFIER, устарели
- Windows не может загрузить файл электронной Microsoft Windows Zone Identifier File из-за нехватки ресурсов (например, БАРАН)
What is Stored in the Zone. Identifier?
So how can we examine the data contained in the Zone.Identifier stream? One option is to run Powershell and execute the Get-Content command as shown below:
Get-Content -path D:\Downloads\1-6b4b9.zip -stream Zone.Identifier
Internet Explorer is not the only web browser to have this functionality. Zone.Identifier streams are written to downloaded files by other browsers such as Microsoft Edge, Edge Legacy, Google Chrome, Mozilla Firefox, Opera and many other Mozilla and Chromium based browsers. Other applications may also implement the functionality.
Отчет о диагностике удаленного доступа
Содержание
Журналы трассировки и событий
- Трассировка журналов
- Журналы модема
- Журналы диспетчера подключений
- Журнал безопасности IP
- Журналы событий удаленного доступа
- Журналы событий безопасности
Сведения об установке
- Информационные файлы
- Проверка установки
- Установленные сетевые компоненты
- Проверка реестра
Сведения о конфигурации
Трассировка журналов [ Содержание ]
Не удается отобразить журналы трассировки удаленного доступа, или нет файлов журнала, которые требуется отобразить.
Журналы модема [ Содержание ]
Не удается отобразить журналы трассировки модема, или нет файлов журналов.
Журналы диспетчера подключений [ Содержание ]
Не удается отобразить журналы диспетчера подключений, или нет файлов журналов.
Журнал безопасности IP [ Содержание ]
Не удается отобразить журналы трассировки IPsec, или нет файлов журналов.
Журналы событий удаленного доступа [ Содержание ]
Тип события: Информация Источник события: Microsoft-Windows-UserPnp Категория события: Нет Код события: 20003 Дата: 20.05.2021 Время: 17:24:57 Пользователь: NT AUTHORITY\СИСТЕМА Компьютер: HITECHNOMERCY Описание: Не получить значения разделов реестра. igfxCUIService2.0.0.0 Тип события: Информация Источник события: Microsoft-Windows-UserPnp Категория события: Нет Код события: 20003 Дата: 20.05.2021 Время: 17:24:57 Пользователь: NT AUTHORITY\СИСТЕМА Компьютер: HITECHNOMERCY Описание: Не получить значения разделов реестра. cphs Тип события: Информация Источник события: Microsoft-Windows-UserPnp Категория события: Нет Код события: 20003 Дата: 20.05.2021 Время: 17:24:57 Пользователь: NT AUTHORITY\СИСТЕМА Компьютер: HITECHNOMERCY Описание: Не получить значения разделов реестра. igfx Тип события: Информация Источник события: Microsoft-Windows-UserPnp Категория события: Нет Код события: 20003 Дата: 19.05.2021 Время: 6:00:23 Пользователь: NT AUTHORITY\СИСТЕМА Компьютер: HITECHNOMERCY Описание: Не получить значения разделов реестра. NVDisplay.ContainerLocalSystem Тип события: Информация Источник события: Microsoft-Windows-UserPnp Категория события: Нет Код события: 20003 Дата: 19.05.2021 Время: 6:00:22 Пользователь: NT AUTHORITY\СИСТЕМА Компьютер: HITECHNOMERCY Описание: Не получить значения разделов реестра. nvlddmkm Тип события: Информация Источник события: Microsoft-Windows-UserPnp Категория события: Нет Код события: 20003 Дата: 19.05.2021 Время: 3:25:31 Пользователь: NT AUTHORITY\СИСТЕМА Компьютер: HITECHNOMERCY Описание: Не получить значения разделов реестра. Parport Тип события: Информация Источник события: Microsoft-Windows-UserPnp Категория события: Нет Код события: 20003 Дата: 19.05.2021 Время: 3:25:30 Пользователь: NT AUTHORITY\СИСТЕМА Компьютер: HITECHNOMERCY Описание: Не получить значения разделов реестра. Serenum Тип события: Информация Источник события: Microsoft-Windows-UserPnp Категория события: Нет Код события: 20003 Дата: 19.05.2021 Время: 3:25:30 Пользователь: NT AUTHORITY\СИСТЕМА Компьютер: HITECHNOMERCY Описание: Не получить значения разделов реестра. Serial Тип события: Информация Источник события: Microsoft-Windows-UserPnp Категория события: Нет Код события: 20003 Дата: 19.05.2021 Время: 3:19:49 Пользователь: NT AUTHORITY\СИСТЕМА Компьютер: HITECHNOMERCY Описание: Не получить значения разделов реестра. Serenum Тип события: Информация Источник события: Microsoft-Windows-UserPnp Категория события: Нет Код события: 20003 Дата: 19.05.2021 Время: 3:19:49 Пользователь: NT AUTHORITY\СИСТЕМА Компьютер: HITECHNOMERCY Описание: Не получить значения разделов реестра. Serial
Журналы событий безопасности [ Содержание ]
Не удается отобразить журналы событий безопасности, или нет записей журналов.
Информационные файлы [ Содержание ]
Имя файла : C:\WINDOWS\inf\netrasa.inf Последнее время записи : 12/07/2019 12:07 Время создания : 12/07/2019 12:07 Размер файла : 24424 байт Имя файла : C:\WINDOWS\inf\netrass.inf Последнее время записи : 12/07/2019 12:07 Время создания : 12/07/2019 12:07 Размер файла : 5292 байт Имя файла : C:\WINDOWS\inf\netrast.inf Последнее время записи : 12/07/2019 12:07 Время создания : 12/07/2019 12:07 Размер файла : 8186 байт
Проверка установки [ Содержание ]
sw\{eeab7790-c514-11d1-b42b-00805fc1270e} = Не найдено.
ms_irdaminiport = Не найдено.
ms_irmodemminiport = Не найдено.
ms_l2tpminiport = ОК.
ms_sstpminiport = ОК.
ms_pptpminiport = ОК.
ms_ptiminiport = Не найдено.
ms_pppoeminiport = ОК.
ms_ndiswanatalk = Не найдено.
ms_ndiswanbh = ОК.
ms_ndiswanip = ОК.
ms_ndiswanipx = Не найдено.
ms_pppoe = ОК.
ms_pptp = Не найдено.
ms_l2tp = Не найдено.
ms_sstp = Не найдено.
ms_rascli = Не найдено.
ms_rassrv = Не найдено.
ms_steelhead = Не найдено.
ms_ndiswan = ОК.
ms_rasman = Не найдено.Установленные сетевые компоненты [ Содержание ]
Сетевые адаптеры ---------------- ms_ndiswanip WAN Miniport (IP) ms_agilevpnminiport WAN Miniport (IKEv2) ms_pppoeminiport WAN Miniport (PPPOE) ms_l2tpminiport WAN Miniport (L2TP) ms_sstpminiport WAN Miniport (SSTP) pci\ven_10ec&dev_8168&subsys_85051043&rev_09 Realtek PCIe GBE Family Controller ms_ndiswanipv6 WAN Miniport (IPv6) ms_pptpminiport WAN Miniport (PPTP) ms_ndiswanbh WAN Miniport (Network Monitor) root\kdnic Microsoft Kernel Debug Network Adapter Сетевые протоколы ---------------- ms_rdma_ndk Microsoft RDMA — NDK ms_tcpip IP версии 4 (TCP/IPv4) ms_netbt WINS Client(TCP/IP) Protocol ms_implat Протокол мультиплексора сетевого адаптера (Майкрософт) ms_ndiswanlegacy Устаревшая версия NDIS-драйвера глобальной сети для удаленного доступа ms_lldp Драйвер протокола LLDP (Майкрософт) ms_wanarp Драйвер IP ARP для удаленного доступа ms_tcpip_tunnel Протокол IP (TCP/IP) — туннели ms_tcpip6_tunnel Microsoft TCP/IP версии 6 — туннели ms_tcpip6 IP версии 6 (TCP/IPv6) ms_rspndr Отвечающее устройство обнаружения топологии канального уровня ms_pppoe Протокол PPPoE ms_wanarpv6 Драйвер IPv6 ARP для удаленного доступа ms_netbt_smb Message-oriented TCP/IP Protocol (SMB session) ms_ndisuio NDIS-протокол ввода-вывода пользовательского режима ms_ndiswan NDIS-драйвер глобальной сети для удаленного доступа ms_lltdio Ответчик обнаружения топологии канального уровня netvsc_vfpp Microsoft NetVsc Failover VF Protocol ms_xboxgip Xbox Game Input Protocol Driver Сетевые службы ---------------- ms_netbios NetBIOS Interface ms_server Общий доступ к файлам и принтерам для сетей Microsoft ms_bridge MAC-мост (Майкрософт) ms_wfplwf_lower Упрощенный фильтр основного MAC-уровня платформы фильтрации Windows ms_ndiscap Захват Microsoft NDIS ms_vwifi @%windir%\System32\drivers\vwififlt.sys,-105 ms_pacer Планировщик пакетов QoS ms_wfplwf_upper Упрощенный фильтр MAC-уровня 802.3 платформы фильтрации Windows ms_nativewifip Фильтр NativeWiFi ms_wfplwf_vswitch Платформа фильтрации Microsoft Windows Сетевые клиенты ---------------- ms_msclient Клиент для сетей Microsoft
Проверка реестра [ Содержание ]
Установленные устройства [ Содержание ]
01 WAN Miniport (PPPOE) pppoe 02 WAN Miniport (PPTP) vpn 03 WAN Miniport (PPTP) vpn 04 WAN Miniport (L2TP) vpn 05 WAN Miniport (L2TP) vpn 06 WAN Miniport (IKEv2) vpn 07 WAN Miniport (IKEv2) vpn 08 WAN Miniport (SSTP) vpn 09 WAN Miniport (SSTP) vpn
Сведения о процессе [ Содержание ]
0 System Process 4 System 108 Registry 488 smss.exe 672 csrss.exe 940 wininit.exe 948 csrss.exe Title: 1020 services.exe 376 lsass.exe Svcs: EFS,KeyIso,SamSs,VaultSvc 696 winlogon.exe 840 svchost.exe Svcs: DcomLaunch,PlugPlay,Power,SystemEventsBroker 900 fontdrvhost.exe 676 fontdrvhost.exe 988 WUDFHost.exe 1100 svchost.exe Svcs: RpcEptMapper,RpcSs 1148 svchost.exe Svcs: LSM 1216 dwm.exe Title: DWM Notification Window 1356 svchost.exe Svcs: NcbService 1364 svchost.exe Svcs: TimeBrokerSvc 1396 svchost.exe Svcs: Schedule 1456 svchost.exe Svcs: hidserv 1476 svchost.exe Svcs: ProfSvc 1508 svchost.exe Svcs: CoreMessagingRegistrar 1568 svchost.exe Svcs: EventLog 1628 svchost.exe Svcs: UserManager 1780 svchost.exe Svcs: nsi 1796 svchost.exe Svcs: SEMgrSvc 1836 svchost.exe Svcs: Dhcp 1968 svchost.exe Svcs: NlaSvc 2020 svchost.exe Svcs: DispBrokerDesktopSvc 1492 wsc_proxy.exe 1672 svchost.exe Svcs: EventSystem 1656 svchost.exe Svcs: SysMain 1820 svchost.exe Svcs: Themes 2092 svchost.exe Svcs: netprofm 2156 Memory Compression 2196 svchost.exe Svcs: SENS 2404 svchost.exe Svcs: Winmgmt 2484 svchost.exe 2492 svchost.exe Svcs: FontCache 2784 svchost.exe Svcs: Dnscache 2936 svchost.exe 2964 svchost.exe Svcs: RmSvc 2004 svchost.exe Svcs: DusmSvc 1960 svchost.exe Svcs: Wcmsvc 2388 svchost.exe Svcs: ShellHWDetection 3132 AvastSvc.exe 3244 svchost.exe Svcs: StateRepository 3424 aswToolsSvc.exe 3728 spoolsv.exe Svcs: Spooler 3764 svchost.exe Svcs: mpssvc 4052 aswEngSrv.exe 4272 afwServ.exe 4388 svchost.exe Svcs: wscsvc 4460 svchost.exe Svcs: IKEEXT 4468 svchost.exe Svcs: iphlpsvc 4480 svchost.exe Svcs: CryptSvc 4488 svchost.exe Svcs: DPS 4640 svchost.exe Svcs: LanmanServer 4672 svchost.exe Svcs: SstpSvc 4720 svchost.exe Svcs: TrkWks 4736 svchost.exe Svcs: WpnService 4832 svchost.exe Svcs: TapiSrv 4892 svchost.exe Svcs: WdiServiceHost 5364 svchost.exe Svcs: RasMan 5928 svchost.exe Svcs: PolicyAgent 4444 sihost.exe Title: 4448 svchost.exe Svcs: CDPUserSvc_83669 6732 svchost.exe Svcs: WpnUserService_83669 3652 taskhostw.exe Title: Task Host Window 3948 svchost.exe Svcs: TokenBroker 2872 svchost.exe Svcs: TabletInputService 7240 ctfmon.exe Title: 7384 svchost.exe 7480 explorer.exe Title: Program Manager 8112 svchost.exe Svcs: lfsvc 7776 SearchIndexer.exeSvcs: WSearch 9376 SecurityHealthService.exeSvcs: SecurityHealthService 9544 AvastUI.exe Title: CAvastTrayIcon 1984 svchost.exe Svcs: DoSvc 9472 svchost.exe Svcs: StorSvc 5812 SgrmBroker.exe Svcs: SgrmBroker 2264 svchost.exe Svcs: UsoSvc 6276 svchost.exe Svcs: OneSyncSvc_83669,PimIndexMaintenanceSvc_83669,UnistoreSvc_83669,UserDataSvc_83669 7748 svchost.exe Svcs: cbdhsvc_83669 9312 AvastUI.exe 4976 AvastUI.exe 6644 svchost.exe 9932 svchost.exe Svcs: PcaSvc 6292 AvastUI.exe 10428 svchost.exe Svcs: LicenseManager 3820 svchost.exe 8980 svchost.exe Svcs: WinHttpAutoProxySvc 11576 svchost.exe 9600 svchost.exe Svcs: SDRSVC 11164 svchost.exe Svcs: SSDPSRV 12280 svchost.exe Svcs: DsSvc 11884 svchost.exe Svcs: NetSetupSvc 10188 svchost.exe Svcs: Netman 13232 WmiPrvSE.exe 4964 audiodg.exe 12348 SearchProtocolHost.exe 11080 svchost.exe 6204 svchost.exe 8204 svchost.exe Svcs: WdiSystemHost 8564 svchost.exe Svcs: BcastDVRUserService_83669 9456 explorer.exe Title: Панель управления\Все элементы панели управления\Сетевые подключения 11236 notepad.exe Title: hijackthis.log – Блокнот 6268 SearchFilterHost.exe 5484 WmiPrvSE.exe 6840 svchost.exe 860 StartMenuExperienceHost.exeTitle: Начальный экран 8168 RuntimeBroker.exe 10920 SearchApp.exe Title: Поиск 8732 RuntimeBroker.exe 4284 game.exe Title: HijackThis Beta 11100 NVDisplay.Container.exeSvcs: NVDisplay.ContainerLocalSystem 6576 nvcontainer.exe Svcs: NvContainerLocalSystem 7536 NVDisplay.Container.exeTitle: NvSvc 11380 rundll32.exe Title: RxDiag Message Pump 2021 NVIDIA Corporation Mar 3 2021 20:47:05 13056 WmiPrvSE.exe 8952 nvcontainer.exe Title: BroadcastListenerWindow 12832 vds.exe Svcs: vds 11608 ShellExperienceHost.exeTitle: Хост Windows Shell Experience 12100 RuntimeBroker.exeTitle: OLEChannelWnd 10900 dllhost.exe Title: OleMainThreadWndName
Служебные программы командной строки [ Содержание ]
arp.exe -a [ Содержание ]
ЌҐ ©¤Ґл § ЇЁбЁ ў в Ў«ЁжҐ ARP.
ipconfig.exe /all [ Содержание ]
Ќ бва®©Є Їа®в®Є®« IP ¤«п Windows €¬п Є®¬ЇмовҐа . . . . . . . . . : HITECHNOMERCY Ћб®ў®© DNS-бгддЁЄб . . . . . . : ’ЁЇ г§« . . . . . . . . . . . . . : ѓЁЎаЁ¤л© IP-¬ аиагвЁ§ жЁп ўЄ«озҐ . . . . : ЌҐв WINS-Їа®ЄбЁ ўЄ«озҐ . . . . . . . : ЌҐв
ipconfig.exe /displaydns [ Содержание ]
Ќ бва®©Є Їа®в®Є®« IP ¤«п Windows
route.exe print [ Содержание ]
=========================================================================== ‘ЇЁб®Є ЁвҐа䥩ᮢ 1...........................Software Loopback Interface 1 =========================================================================== IPv4 в Ў«Ёж ¬ аиагв =========================================================================== ЂЄвЁўлҐ ¬ аиагвл: ‘ҐвҐў®© ¤аҐб Њ бЄ бҐвЁ Ђ¤аҐб и«о§ €вҐадҐ©б ЊҐваЁЄ 127.0.0.0 255.0.0.0 On-link 127.0.0.1 331 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331 =========================================================================== Џ®бв®плҐ ¬ аиагвл: ЋвбгвбвўгҐв IPv6 в Ў«Ёж ¬ аиагв =========================================================================== ЂЄвЁўлҐ ¬ аиагвл: ЊҐваЁЄ ‘ҐвҐў®© ¤аҐб «о§ 1 331 ::1/128 On-link 1 331 ff00::/8 On-link =========================================================================== Џ®бв®плҐ ¬ аиагвл: ЋвбгвбвўгҐв
net.exe start [ Содержание ]
‡ ЇгйҐл б«Ґ¤гойЁҐ б«г¦Ўл Windows: Avast Antivirus Avast Firewall Service Avast Tools AvastWscReporter CoreMessaging DHCP-Є«ЁҐв DNS-Є«ЁҐв NVIDIA Display Container LS NVIDIA LocalSystem Container Plug and Play SysMain Windows Audio Windows Search ЂЈҐв Ї®«ЁвЁЄЁ IPsec Ѓа ¤¬ гна ‡ йЁвЁЄ Windows Ѓа®ЄҐа ўаҐ¬ҐЁ Ѓа®ЄҐа ¬®Ёв®аЁЈ баҐ¤л ўлЇ®«ҐЁп System Guard Ѓа®ЄҐа бЁб⥬ле б®ЎлвЁ© ‚Ёавг «мл© ¤ЁбЄ ‚бЇ®¬®Ј ⥫м п б«г¦Ў IP „ЁбЇҐвзҐа «®Є «мле ᥠᮢ „ЁбЇҐвзҐа ЇҐз вЁ „ЁбЇҐвзҐа Ї« ⥦Ґ© Ё NFC/§ йЁйҐле н«Ґ¬Ґв®ў „ЁбЇҐвзҐа Ї®¤Є«о票© Windows „ЁбЇҐвзҐа Ї®¤Є«о票© г¤ «Ґ®Ј® ¤®бвгЇ „ЁбЇҐвзҐа Ї®«м§®ў ⥫Ґ© „ЁбЇҐвзҐа гзҐвле ўҐЎ-§ ЇЁбҐ© „ЁбЇҐвзҐа гзҐвле ¤ ле „ЁбЇҐвзҐа гзҐвле § ЇЁбҐ© ЎҐ§®Ї б®бвЁ „®бвгЇ Є HID-гбва®©бвў ¬ †га « б®ЎлвЁ© Windows €§®«пжЁп Є«о祩 CNG €бва㬥в аЁ© гЇа ў«ҐЁп Windows €бЇ®«м§®ў ЁҐ ¤ ле Љ«ЁҐв ®вб«Ґ¦Ёў Ёп Ё§¬ҐЁўиЁебп бўп§Ґ© Њ®¤г«Ё Є«о祩 IPsec ¤«п ®Ў¬Ґ Є«оз ¬Ё ў €вҐаҐвҐ Ё Їа®в®Є®« IP б Їа®ўҐаЄ®© Ї®¤«Ё®бвЁ Њ®¤г«м § ЇгбЄ Їа®жҐбб®ў DCOM-бҐаўҐа ЋЎ а㦥ЁҐ SSDP ЋЇаҐ¤Ґ«ҐЁҐ ®Ў®а㤮ў Ёп ®Ў®«®зЄЁ ЋЇвЁ¬Ё§ жЁп ¤®бв ўЄЁ ЏЁв ЁҐ Џ« Ёа®ўйЁЄ § ¤ Ё© Џ®«м§®ў ⥫мбЄ п б«г¦Ў DVR ¤«п ЁЈа Ё ва б«пжЁЁ_83669 Џ®«м§®ў ⥫мбЄ п б«г¦Ў push-㢥¤®¬«ҐЁ© Windows_83669 Џ®«м§®ў ⥫мбЄ п б«г¦Ў ЎгдҐа ®Ў¬Ґ _83669 Џ®б।ЁЄ Ї®¤Є«о票© Є бҐвЁ Џа®Ја ¬¬ аеЁў жЁЁ ¤ ле ‘ўҐ¤ҐЁп ® ЇаЁ«®¦ҐЁЁ ‘ҐаўҐа ‘ҐвҐўлҐ Ї®¤Є«озҐЁп ‘Ёеа®Ё§ жЁп г§« _83669 ‘Ёб⥬ б®ЎлвЁ© COM+ ‘«г¦Ў "ЃҐ§®Ї б®бвм Windows" ‘«г¦Ў AVCTP ‘«г¦Ў SSTP ‘«г¦Ў Windows License Manager ‘«г¦Ў ўв®¬ вЁзҐбЄ®Ј® ®Ў а㦥Ёп ўҐЎ-Їа®ЄбЁ WinHTTP ‘«г¦Ў Ў §®ў®© дЁ«мва жЁЁ ‘«г¦Ў ЈҐ®Ја дЁзҐбЄ®Ј® Ї®«®¦ҐЁп ‘«г¦Ў ¤ЁбЇҐвзҐа ¤®бвгЇ Є ў®§¬®¦®бвп¬ ‘«г¦Ў ¤®бвгЇ Є ¤ л¬ Ї®«м§®ў ⥫п_83669 ‘«г¦Ў ЁвҐа䥩б б®еа ҐЁп бҐвЁ ‘«г¦Ў Ёда бвагЄвгал д®®ўле § ¤ з ‘«г¦Ў Є®в Євле ¤ ле_83669 ‘«г¦Ў Єни иаЁдв®ў Windows ‘«г¦Ў бва®©ЄЁ бҐвЁ ‘«г¦Ў ®аЄҐбва в®а ®Ў®ў«ҐЁ© ‘«г¦Ў Ї« вд®а¬л Ї®¤Є«озҐле гбва®©бвў ‘«г¦Ў Ї®«ЁвЁЄЁ ¤Ё Ј®бвЁЄЁ ‘«г¦Ў Ї®«ЁвЁЄЁ ®в®Ўа ¦ҐЁп ‘«г¦Ў Ї®«м§®ў вҐ«п Ї« вд®а¬л Ї®¤Є«озҐле гбва®©бвў_83669 ‘«г¦Ў Ї®¬®йЁЄ Ї® б®ў¬ҐбвЁ¬®бвЁ Їа®Ја ¬¬ ‘«г¦Ў Їа®дЁ«Ґ© Ї®«м§®ў ⥫Ґ© ‘«г¦Ў а §ўҐавлў Ёп AppX (AppXSVC) ‘«г¦Ў ९®§Ёв®аЁп б®бв®пЁ© ‘«г¦Ў ᢥ¤ҐЁ© ® Ї®¤Є«озҐле бҐвпе ‘«г¦Ў бҐб®а®© Є« ўЁ вгал Ё Ї Ґ«Ё агЄ®ЇЁб®Ј® ўў®¤ ‘«г¦Ў бЁб⥬л push-㢥¤®¬«ҐЁ© Windows ‘«г¦Ў б®ў¬Ґбв®Ј® ¤®бвгЇ Є ¤ л¬ ‘«г¦Ў бЇЁбЄ бҐвҐ© ‘«г¦Ў 㢥¤®¬«ҐЁп ® бЁб⥬ле б®ЎлвЁпе ‘«г¦Ў гЇа ў«ҐЁп а ¤Ё® ‘«г¦Ў еа ҐЁп ¤ ле Ї®«м§®ў ⥫п_83669 ‘«г¦Ў еа Ё«Ёй ‘«г¦Ўл ЄаЁЇв®Ја дЁЁ ‘®Ї®бв ўЁвҐ«м Є®Ґзле в®зҐЄ RPC ‘।бвў® Ї®бв஥Ёп Є®Ґзле в®зҐЄ Windows Audio ’Ґ«Ґд®Ёп ’Ґ¬л “¤ «Ґл© ўл§®ў Їа®жҐ¤га (RPC) “§Ґ« бЁбвҐ¬л ¤Ё Ј®бвЁЄЁ “§Ґ« б«г¦Ўл ¤Ё Ј®бвЁЄЁ “Їа ў«ҐЁҐ ЇаЁ«®¦ҐЁп¬Ё ”®®ў п ЁвҐ««ҐЄвг «м п б«г¦Ў ЇҐаҐ¤ зЁ (BITS) –Ґва ®ЎҐбЇҐзҐЁп ЎҐ§®Ї б®бвЁ Ёда®ў п д ©«®ў п бЁб⥬ (EFS) Љ®¬ ¤ ўлЇ®«Ґ гбЇҐи®.
netstat.exe -e [ Содержание ]
‘в вЁбвЁЄ ЁвҐадҐ©б Џ®«г祮 ЋвЇа ў«Ґ® Ѓ ©в 0 0 Ћ¤® ¤аҐблҐ Ї ЄҐвл 0 0 Њ®Ј® ¤аҐблҐ Ї ЄҐвл 0 0 ЋвЎа®иҐ® 0 0 ЋиЁЎЄЁ 0 0 ЌҐЁ§ўҐбвл© Їа®в®Є®« 0
netstat.exe -o [ Содержание ]
ЂЄвЁўлҐ Ї®¤Є«озҐЁп €¬п ‹®Є «мл© ¤аҐб ‚ҐиЁ© ¤аҐб ‘®бв®пЁҐ PID
netstat.exe -s [ Содержание ]
‘в вЁбвЁЄ IPv4 Џ®«г祮 Ї ЄҐв®ў = 837247 Џ®«г祮 ®иЁЎ®Є ў § Ј®«®ўЄ е = 0 Џ®«г祮 ®иЁЎ®Є ў ¤аҐб е = 0 Ќ Їа ў«Ґ® ¤ в Ја ¬¬ = 0 Џ®«г祮 ҐЁ§ўҐбвле Їа®в®Є®«®ў = 5 ЋвЎа®иҐ® Ї®«гзҐле Ї ЄҐв®ў = 1600 „®бв ў«Ґ® Ї®«гзҐле Ї ЄҐв®ў = 1168292 ‡ Їа®б®ў ўлў®¤ = 833568 ЋвЎа®иҐ® ¬ аиагв®ў = 0 ЋвЎа®иҐ® ўл室ле Ї ЄҐв®ў = 0 ‚л室ле Ї ЄҐв®ў ЎҐ§ ¬ аиагв = 50 ’ॡгҐвбп бЎ®аЄ = 0 “бЇҐи п бЎ®аЄ = 0 ‘Ў®Ґў ЇаЁ бЎ®аЄҐ = 0 “бЇҐи® да Ј¬ҐвЁа®ў ® ¤ в Ја ¬¬ = 0 ‘Ў®Ґў ЇаЁ да Ј¬Ґв жЁЁ ¤ в Ја ¬¬ = 0 ‘®§¤ ® да Ј¬Ґв®ў = 0 ‘в вЁбвЁЄ IPv6 Џ®«г祮 Ї ЄҐв®ў = 0 Џ®«г祮 ®иЁЎ®Є ў § Ј®«®ўЄ е = 0 Џ®«г祮 ®иЁЎ®Є ў ¤аҐб е = 0 Ќ Їа ў«Ґ® ¤ в Ја ¬¬ = 0 Џ®«г祮 ҐЁ§ўҐбвле Їа®в®Є®«®ў = 0 ЋвЎа®иҐ® Ї®«гзҐле Ї ЄҐв®ў = 0 „®бв ў«Ґ® Ї®«гзҐле Ї ЄҐв®ў = 6658420 ‡ Їа®б®ў ўлў®¤ = 6658425 ЋвЎа®иҐ® ¬ аиагв®ў = 0 ЋвЎа®иҐ® ўл室ле Ї ЄҐв®ў = 0 ‚л室ле Ї ЄҐв®ў ЎҐ§ ¬ аиагв = 0 ’ॡгҐвбп бЎ®аЄ = 0 “бЇҐи п бЎ®аЄ = 0 ‘Ў®Ґў ЇаЁ бЎ®аЄҐ = 0 “бЇҐи® да Ј¬ҐвЁа®ў ® ¤ в Ја ¬¬ = 0 ‘Ў®Ґў ЇаЁ да Ј¬Ґв жЁЁ ¤ в Ја ¬¬ = 0 ‘®§¤ ® да Ј¬Ґв®ў = 0 ‘в вЁбвЁЄ ICMPv4 Џ®«г祮 ЋвЇа ў«Ґ® ‘®®ЎйҐЁ© 459 959 ЋиЁЎ®Є 0 0 'Ќ § 票Ґ Ґ¤®бвЁ¦Ё¬®' 399 893 ЏаҐўл襨© ўаҐ¬ҐЁ 38 0 ЋиЁЎ®Є ў Ї а ¬Ґва е 0 0 Џа®бмЎ "бЁ§Ёвм бЄ®а®бвм" 0 0 ЏҐаҐ ¤аҐб®ў ® 0 0 ЋвўҐвле Ї ЄҐв®ў 22 0 ќе®-б®®ЎйҐЁ© 0 66 Ћв¬Ґв®Є ўаҐ¬ҐЁ 0 0 ЋвўҐвл ®в¬ҐвЄЁ ўаҐ¬ҐЁ 0 0 Њ б®Є ¤аҐб®ў 0 0 ЋвўҐв®ў ¬ бЄЁ ¤аҐб®ў 0 0 Њ аиагвЁ§ в®а 0 0 Њ аиагвЁ§ в®а 0 0 ICMPv6 ‘в вЁбвЁЄ Џ®«г祮 ЋвЇа ў«Ґ® ‘®®ЎйҐЁ© 0 0 ЋиЁЎ®Є 0 0 'Ќ § 票Ґ Ґ¤®бвЁ¦Ё¬®' 0 0 Џ ЄҐв б«ЁиЄ®¬ ўҐ«ЁЄ 0 0 ЏаҐўл襨© ўаҐ¬ҐЁ 0 0 ЋиЁЎ®Є ў Ї а ¬Ґва е 0 0 ќе®-б®®ЎйҐЁ© 0 0 ЋвўҐвле Ї ЄҐв®ў 0 0 MLD-§ Їа®бл 0 0 MLD-®взҐвл 0 0 MLD ўлЇ®«Ґ® 0 0 Њ аиагвЁ§ в®а 0 0 Њ аиагвЁ§ в®а 0 0 ЋЄа㦥ЁҐ 0 0 ЋЄа㦥ЁҐ 0 0 ЏҐаҐ ¤аҐб®ў ® 0 0 ЏҐаҐг¬Ґа. ¬ аиагвЁ§ в®а 0 0 ‘в вЁбвЁЄ TCP ¤«п IPv4 ЂЄвЁўле ®вЄалв® = 19508 Џ ббЁўле ®вЄалв® = 119 ‘Ў®Ґў ЇаЁ Ї®¤Є«о票Ё = 4396 ‘Ўа®иҐ® Ї®¤Є«о票© = 1208 ’ҐЄгйЁе Ї®¤Є«о票© = 0 Џ®«г祮 ᥣ¬Ґв®ў = 1170661 ЋвЇа ў«Ґ® ᥣ¬Ґв®ў = 460623 Џ®ўв®а® ®вЇа ў«Ґ® ᥣ¬Ґв®ў = 0 ‘в вЁбвЁЄ TCP ¤«п IPv6 ЂЄвЁўле ®вЄалв® = 3690 Џ ббЁўле ®вЄалв® = 497 ‘Ў®Ґў ЇаЁ Ї®¤Є«о票Ё = 3533 ‘Ўа®иҐ® Ї®¤Є«о票© = 504 ’ҐЄгйЁе Ї®¤Є«о票© = 0 Џ®«г祮 ᥣ¬Ґв®ў = 6386968 ЋвЇа ў«Ґ® ᥣ¬Ґв®ў = 3187156 Џ®ўв®а® ®вЇа ў«Ґ® ᥣ¬Ґв®ў = 0 ‘в вЁбвЁЄ UDP ¤«п IPv4 Џ®«г祮 ¤ в Ја ¬¬ = 8694 ЋвбгвбвўЁҐ Ї®ав®ў = 1406 ЋиЁЎЄЁ ЇаЁ Ї®«г票Ё = 2783 ЋвЇа ў«Ґ® ¤ в Ја ¬¬ = 12328 ‘в вЁбвЁЄ UDP ¤«п IPv6 Џ®«г祮 ¤ в Ја ¬¬ = 284106 ЋвбгвбвўЁҐ Ї®ав®ў = 0 ЋиЁЎЄЁ ЇаЁ Ї®«г票Ё = 0 ЋвЇа ў«Ґ® ¤ в Ја ¬¬ = 284106
netstat.exe -n [ Содержание ]
ЂЄвЁўлҐ Ї®¤Є«озҐЁп €¬п ‹®Є «мл© ¤аҐб ‚ҐиЁ© ¤аҐб ‘®бв®пЁҐ
nbtstat.exe -c [ Содержание ]
Не удается отобразить результаты служебных программ консоли.
nbtstat.exe -n [ Содержание ]
Не удается отобразить результаты служебных программ консоли.
nbtstat.exe -r [ Содержание ]
Не удается отобразить результаты служебных программ консоли.
nbtstat.exe -S [ Содержание ]
Не удается отобразить результаты служебных программ консоли.
netsh.exe dump [ Содержание ]
#======================== # Љ®дЁЈга жЁп ЁвҐа䥩б #======================== pushd interface popd # Љ®Ґж Є®дЁЈга жЁЁ ЁвҐа䥩б # ---------------------------------- # Љ®дЁЈга жЁп 6to4 # ---------------------------------- pushd interface 6to4 reset popd # Љ®Ґж Є®дЁЈга жЁЁ 6to4 # ---------------------------------- # Љ®дЁЈга жЁп IPHTTPS # ---------------------------------- pushd interface httpstunnel reset popd # Љ®Ґж Є®дЁЈга жЁЁ IPHTTPS # ---------------------------------- # Љ®дЁЈга жЁп IPv4 # ---------------------------------- pushd interface ipv4 reset popd # Љ®Ґж Є®дЁЈга жЁЁ IPv4 # ---------------------------------- # Љ®дЁЈга жЁп IPv6 # ---------------------------------- pushd interface ipv6 reset set interface interface="Ethernet (®в« ¤зЁЄ п¤а )" forwarding=enabled advertise=enabled nud=enabled ignoredefaultroutes=disabled set interface interface="Ethernet" forwarding=enabled advertise=enabled nud=enabled ignoredefaultroutes=disabled popd # Љ®Ґж Є®дЁЈга жЁЁ IPv6 # ---------------------------------- # Љ®дЁЈга жЁп ISATAP # ---------------------------------- pushd interface isatap popd # Љ®Ґж Є®дЁЈга жЁЁ ISATAP # ---------------------------------- # Љ®дЁЈга жЁп 6to4 # ---------------------------------- pushd interface 6to4 reset popd # Љ®Ґж Є®дЁЈга жЁЁ 6to4 # ---------------------------------- # Љ®дЁЈга жЁп ISATAP # ---------------------------------- pushd interface isatap popd # Љ®Ґж Є®дЁЈга жЁЁ ISATAP #=========================== # Љ®дЁЈга жЁп Ї®ав®ў Їа®ЄбЁ #=========================== pushd interface portproxy reset popd # Љ®Ґж Є®дЁЈга жЁЁ Ї®ав®ў Їа®ЄбЁ # ---------------------------------- # Љ®дЁЈга жЁп TCP # ---------------------------------- pushd interface tcp reset set global rss=enabled autotuninglevel=normal congestionprovider=default ecncapability=disabled timestamps=disabled initialrto=1000 rsc=enabled nonsackrttresiliency=disabled maxsynretransmissions=4 fastopen=enabled fastopenfallback=enabled hystart=enabled prr=enabled pacingprofile=off popd # Љ®Ґж Є®дЁЈга жЁЁ TCP # ---------------------------------- # Љ®дЁЈга жЁп Teredo # ---------------------------------- pushd interface teredo set state type=disabled servername=win1910.ipv6.microsoft.com. servervirtualip=0.0.0.0 popd # Љ®Ґж Є®дЁЈга жЁЁ Teredo # ---------------------------------- # Љ®дЁЈга жЁп UDP # ---------------------------------- pushd interface udp reset set global uro=disabled popd # Љ®Ґж Є®дЁЈга жЁЁ UDP # ------------------------------------ # Ќ бва®©Є ¬®бв (Ґ Ї®¤¤Ґа¦Ёў Ґвбп) # ------------------------------------ # ------------------------------------ # Љ®Ґж бва®©ЄЁ ¬®бв # ------------------------------------ Љ®¬ ¤ "netsh advfirewall dump" Ґ ॠ«Ё§®ў ў нв®© ўҐабЁЁ Windows. €бЇ®«м§г©вҐ ў¬Ґбв® нв®Ј® Є®¬ ¤г "netsh advfirewall export" ¤«п § ЇЁбЁ ⥪г饩 Є®дЁЈга жЁЁ Ўа ¤¬ гна Windows ў ०Ё¬Ґ Ї®ўл襮© ЎҐ§®Ї б®бвЁ Ё§ ⥪г饣® еа Ё«Ёй Ї®«ЁвЁЄ ў д ©« ¤ЁбЄҐ. ‡ ⥬ ¬®¦® ЁбЇ®«м§®ў вм Є®¬ ¤г "netsh advfirewall import" ¤«п з⥨п д ©« Ё ҐЈ® § Јаг§ЄЁ ў ¤агЈ®Ґ еа Ё«ЁйҐ Ї®«ЁвЁЄ, ЇаЁ¬Ґа ў ®ЎкҐЄв ЈагЇЇ®ў®© Ї®«ЁвЁЄЁ Ё«Ё ⥪г饥 еа Ё«ЁйҐ Ї®«ЁвЁЄ ¤агЈ®¬ Є®¬ЇмовҐаҐ. —в®Ўл § ¤ вм ⥪г饥 еа Ё«ЁйҐ Ї®«ЁвЁЄ, ЁбЇ®«м§г©вҐ Є®¬ ¤г "netsh advfirewall set store". „®Ї®«ЁвҐ«млҐ бўҐ¤ҐЁп ® Є®¬ ¤ е ў Є®вҐЄб⥠netsh advfirewall б¬. ў бв вмҐ "Љ®¬ ¤л Netsh ¤«п Ўа ¤¬ гна Windows ў ०Ё¬Ґ Ї®ўл襮© ЎҐ§®Ї б®бвЁ" Ї® ¤аҐбг https://go.microsoft.com/fwlink/?linkid=111237. # ---------------------------------------- # Ќ бва®©Є Їа®ў®¤®© «®Є «м®© бҐвЁ # ---------------------------------------- pushd lan popd # Љ®Ґж бва®©ЄЁ Їа®ў®¤®© «®Є «м®© бҐвЁ „ ¬Ї Є®дЁЈга жЁЁ ¬®ЎЁ«м®Ј® иЁа®Є®Ї®«®б®Ј® Ї®¤Є«озҐЁп Ґ Ї®¤¤Ґа¦Ёў Ґвбп # ----------------------------------------- # Љ®дЁЈга жЁп RAS # ----------------------------------------- pushd ras popd # Љ®Ґж Є®дЁЈга жЁЁ RAS. # ------------------------------------------- # Љ®дЁЈга жЁп ¤Ё Ј®бвЁЄЁ г¤ «Ґ®Ј® ¤®бвгЇ # ------------------------------------------- pushd ras diagnostics set rastracing component = * state = disabled set modemtracing state = disabled set cmtracing state = disabled set securityeventlog state = disabled popd # Љ®Ґж Є®дЁЈга жЁЁ ¤Ё Ј®бвЁЄЁ г¤ «Ґ®Ј® ¤®бвгЇ . # ----------------------------------------- # Љ®дЁЈга жЁп г¤ «Ґ®Ј® ¤®бвгЇ AAAA # ----------------------------------------- pushd ras aaaa popd # Љ®Ґж AAAA-Є®дЁЈга жЁЁ. # ----------------------------------------- # Љ®дЁЈга жЁп Їа®ЄбЁ-бҐаўҐа®ў WinHTTP # ----------------------------------------- pushd winhttp reset proxy popd # Љ®Ґж Є®дЁЈга жЁЁ Їа®ЄбЁ-бҐаўҐа®ў WinHTTP
netsh.exe namespace show policy [ Содержание ]
Џ а ¬Ґвал в Ў«Ёжл Ї®«ЁвЁЄЁ а §аҐиҐЁп DNS-Ё¬Ґ
Файлы телефонных книг [ Содержание ]
Не удается отобразить системную телефонную книгу удаленного доступа, или нет подключений удаленного доступа.
StandardBias
This value is added to the value of the Bias member to form the bias used during standard time. In most time zones the value of this member is zero.
Резюме файла IDENTIFIER
Файлы IDENTIFIER связаны с один типом (-ами) файлов, и их можно просматривать с помощью Microsoft Windows, разработанного Microsoft Corporation. В целом, этот формат связан с один существующим (-и) прикладным (-и) программным (-и) средством (-ами). Обычно они имеют формат Windows Zone Identifier File.
Чаще всего файлы IDENTIFIER классифицируют, как System Files.
Файлы с расширением IDENTIFIER были идентифицированы на настольных компьютерах (и некоторых мобильных устройствах). Они полностью или частично поддерживаются Windows.
Рейтинг популярности расширения файла IDENTIFIER составляет «Низкий», что означает, что эти файлы, как правило, не встречаются в большинстве файловых хранилищ пользователя.
Распространенность
Статус
Страница Последнее обновление
FileViewPro открывает файлы IDENTIFIER

DaylightName
The Operating System uses this name during daylight saving months to display the current time Zone setting.
Zone Identifier, ADS and URL Zones
If you are new to the field of digital forensics, you may not be aware of Zone Identifiers, Alternate Data Streams (ADS) or URL Zones. If that is the case, then you have come to the right place. We shall explain all and show you exactly how they can help you during an investigation. First of all, we need to take a look at Alternate Data Streams.
ADS and PowerShell
PowerShell comes with a built-in feature to read ADS. There are several commands that can be used to read and edit them:
- Get-Item
- Set-Item
- Remove-Item
- Add-Content
- Get-Content
- Set-Content
Listing all the streams of a file:
Get-Item -Path [filename] -Stream *
Adding hidden message into ADS:
Add-Content -Path [filename] -Value [my hidden message] -Stream [new_stream]
DaylightBias
This value specifies a bias value to be used during local time translations that occur during daylight time. This value is added to the value of the Bias member to form the bias used during daylight time. In most time zones the value of this member is –60.
Типы IDENTIFIER
Основной тип IDENTIFIER

Файл IDENTIFIER представляет собой файл, который содержит метаданные, описывающие зоны безопасности, связанные с другим файлом IDENTIFIER file.The генерируется автоматически при загрузке файла из Интернета или полученные в электронной attachment.The IDENTIFIER Файл часто созданные файлы идентификаторы Интернета Explorer.Zone также известны как «альтернативный поток данных» (ADS) файлы.

Найти другие файлы

Запросы IDENTIFIER
Популярные устройства
Easily Process Zone. Identifier Streams in Your Investigation
As a forensic investigator, what is an easy way to examine the Zone.Identifier stream from downloaded files? Luckily, there is a simple solution when using NetAnalysis® as part of your forensic process. NetAnalysis® v3 adds support for importing data from this hidden Alternate Data Stream.
As NetAnalysis® searches through all files, it identifies supported types, and checks for the presence of NTFS Alternate Data Streams. Any files containing a Zone.Identifier ADS are processed and added to the grid for analysis with the Zone Identifier Entry Type.
The image below shows the entry we manually examined above imported into NetAnalysis®. The Information Panel shows the associated metadata, including file system information. All the other properties from the stream, which are not displayed in the Information panel, can be found in the corresponding columns in the NetAnalysis® grid.

What is the Zone. Identifier Stream?
The Zone.Identifier feature was first introduced in Windows XP Service Pack 2 and Windows Server 2003 Service Pack 1. It was designed as a security feature and provided storage for URL Security Zone information. In essence, the feature allowed Windows to determine whether a file should be trusted or not. Internet Explorer would add a Zone.Identifier stream to all downloaded files and set an ID which indicated which Zone the file originated from (such as Zone 3, the Internet Zone). We will look at this further in a moment.
Appendix
- https://technet.microsoft.com/en-us/sysinternals/streams.aspx – Streams – tools from SysInternals to view ADS
- https://msdn.microsoft.com/en-us/library/ms537021%28v=VS.85%29.aspx – URL security zones
- https://winitor.com/pdf/NtfsAlternateDataStreams.pdf – presentation about Windows Alternate Data Streams by Marc Ochsenmeier
- https://www.bleepingcomputer.com/tutorials/windows-alternate-data-streams/ – Bleeping Computer on ADS


