Forensic Analysis of the Zone.Identifier Stream

Image Description

StandardStart

Binary data in SYSTEMTIME format used to identify the date/time that Standard Time will commence in this time zone.

DaylightStart

Binary data in SYSTEMTIME structure used to identify the date/time that Daylight Saving will commence in this time zone.

Daylight Saving / Standard Time Start Dates

Looking at Figure 10 below, you can see two keys entitled DaylightStart and StandardStart.  They hold encoded data showing the exact commencement date/time of Daylight Saving and Standard Time.   To establish when daylight saving starts and ends, both keys will need to be decoded.

Registry_DaylightStart


H:\Downloads> more < test.exe:Zone.Identifier
[ZoneTransfer]
ZoneId=3

You can find them using dir /r on Windows Vista and later:

2009-10-24  12:18        54.538.056 test.exe
                                 24 test.exe:Zone.Identifier:$DATA

Also in CMD you can easily get rid of that by overwriting it (using output redirection, this time):

echo.>myDownloadedFile.exe:Zone.Identifier

which isn’t quite the same as removing the ADS completely, but works in that Explorer doesn’t complain anymore.

There doesn’t seem to be native support for handling ADS from within PowerShell (as mentioned on The PowerShell Guy’s blog here. That article also has some information how to get that functionality in PowerShell). You could, however, simply call cmd:

cmd /c "echo.>test.exe:Zone.Identifier"

That works from PowerShell as well.

Another option would be Mark Russinovich’s streams utility which allows you to inspect a file’s ADS and also to delete them. So

streams -d myDownloadedFile.exe

does work as well.

Introduction to Time Zone Identification

In a digital forensic examination, establishing which Time Zone the system had been set to should one of the first examination tasks.  If this information is not established at an early stage and taken into account, the validity of Date/Time evidence may be brought into question.  Not only is this true for the examination of Browser History and related artefacts, it is also important when examining file system metadata.

I also believe this is something every examiner should be able to do manually, as opposed to relying on point and click or script forensics.  Whilst point and click certainly has a place and software tools can greatly increase the efficiency of the examination process, digital forensic practitioners need to possess the skills and ability to verify the results.

Some Date/Time values stored in binary files are affected by the Time Zone setting of the original suspect computer and many digital forensic applications can alter the representation of these dates by the Time Zone setting of the forensic workstation.

This becomes particularly complicated when the suspect computer was set to an incorrect Time Zone and the computer clock was set to correspond to the Local Time Zone.  Many of the Date/Time stamps store the data as UTC values.  In such circumstances, the Operating System (or application) has to convert the value from Local time to UTC.

In FAT file system – used by old versions of windows – file consisted of 2 elements: attributes and data.

In NTFS it i different – file consists of attributes, security settings, main stream and alternate streams. By default, only the main stream is visible.

Forensic Analysis of the Zone.Identifier Stream testfile.txt:hidden_stream” srcset=”https://hshrzd.files.wordpress.com/2016/03/ads.png?w=584 584w, https://hshrzd.files.wordpress.com/2016/03/ads.png?w=150 150w, https://hshrzd.files.wordpress.com/2016/03/ads.png?w=400 400w, https://hshrzd.files.wordpress.com/2016/03/ads.png 634w” sizes=”(max-width: 584px) 100vw, 584px”>

Let’s list the directory and see the newly created file (test.txt)

dir

As we can notice, the file length is displayed as 0 bytes. If we try to open this file by some text editor (i.e notepad) we can see that it is empty. Does it really have something inside? Let’s confirm:

<img aria-describedby="caption-attachment-1830" data-attachment-id="1830" data-permalink="https://hshrzd.wordpress.com/2016/03/19/introduction-to-ads-alternate-data-streams/ads_display-2/" data-orig-file="https://hshrzd.files.wordpress.com/2016/03/ads_display1.png" data-orig-size="372,35" data-comments-opened="1" data-image-meta="{"aperture":"0","credit":"","camera":"","caption":"","created_timestamp":"0","copyright":"","focal_length":"0","iso":"0","shutter_speed":"0","title":"","orientation":"0"}" data-image-title="ADS_display" data-image-description="" data-image-caption="" data-medium-file="https://hshrzd.files.wordpress.com/2016/03/ads_display1.png?w=372" data-large-file="https://hshrzd.files.wordpress.com/2016/03/ads_display1.png?w=372" src="https://hshrzd.files.wordpress.com/2016/03/ads_display1.png?w=584" alt="more

more < test.txt:hidden_stream

Now, finally, our text showed up.

So, how we will find out what are the alternate data streams available in particular files? There are several tools dedicated to reading and editing ADS, but if we don’t want to bother about it, we can just use a command dir, with an appropriate parameter:

dir_help

dir /R – display alternate data streams of the file

dir_r

Now we can see the same file, test.txt, listed twice: once with a size 0, and then again – with the size 35, with the ADS name added.

We can edit the file in a normal way, and the alternative stream will stay untouched. By the same way we can create several streams.

two_streams

What is an Alternate Data Stream?

As we know, files stored on an NTFS file system can have many different attribute types, these are the building blocks for the file. One of these attributes is $DATA, or simply called the data attribute. It is the part of the file where the actual data is stored. This data stream, sometimes referred to as the primary data stream, or more accurately the unnamed data stream, has no name associated with it. However, the NTFS file system supports multiple data streams, where the stream name identifies a new data attribute of a file. So how do we access these alternate streams?

Добавить комментарий

Заполните форму для добавления комментария

StandardName

The Operating System uses this name during daylight saving months to display the current time zone setting.

Summary

The Zone.Identifier stream, associated with a download, contains a rich store of properties that may be relevant to an investigation. NetAnalysis® provides an easy way to examine, and perform analysis on these streams. HstEx® allows an easy way to process an entire forensic image (or other source) recovering Zone.Identifier streams contained within live and deleted MFT entries. HstEx® can also recover this data even if the file has been deleted, the volume has been formatted, or the partition deleted.

Locate Available Alternate Data Streams

To locate the available alternate data streams available for a file, you can use the Get-Item cmdlet with the -Stream parameter.

Below you will see the output from the Get-Item cmdlet. It lists the stream available along with the length of the stream. The zap.sh file contains two data streams: $DATA and Zone:Identifier.

Get-Item * -Stream * 

PSChildName    zap.icoZone.Identifier
PSDrive        C
PSProvider     Microsoft.PowerShell.Core\FileSystem
PSIsContainer  False
Stream         Zone.Identifier
Length         

PSChildName    zap.sh::$DATA
PSDrive        C
PSProvider     Microsoft.PowerShell.Core\FileSystem
PSIsContainer  False
Stream         $DATA
Length         

PSChildName    zap.shZone.Identifier
PSDrive        C
PSProvider     Microsoft.PowerShell.Core\FileSystem
PSIsContainer  False
Stream         Zone.Identifier
Length         

Bias

This value is the normal Time difference from UTC in minutes. This value is the number of minutes that would need to be added to a local time to return it to a UTC value. This value will identify the Master Time Zone (Standard Time).

Read Alternate Data Streams

To read an alternate data stream, you can use the Get-Content cmdlet.

The below example reads an alternate data stream for the zap.sh file.

Zone. Identifier Properties

  • AppZoneId
  • HostIpAddress
  • HostUrl
  • LastWriterPackageFamilyName
  • ReferrerUrl
  • ZoneId

Unblock-File


Case Example

This was demonstrated in a case I was asked to review a number of years ago.  A computer had been seized as part of an investigation into abusive images of children.  The police had examined the computer correctly and the individual involved had been charged with offences under the Protection of Children Act 1978.

A defence expert examined the forensic image from the computer had declared in his report that the police had tampered with the evidence and alleged that they were responsible for the illegal material as the Date/Time stamps show the material was created on the disk some four hours after it had been seized by police.

My initial examination revealed that the defence expert had not established the Time Zone settings for the system nor had he taken them into account during his examination and subsequent report.  If he had, he would have seen that the system was incorrectly set to Pacific Time and not GMT.  As far as the Operating System was concerned, the system was in Pacific Time and added 8 hours to the Local times to convert them to UTC.  This resulted in the Date/Time stamps being 8 hours in advance of the correct time.

When the defence expert stated the computer had illegal material written to the disk after the system was seized, it was in fact that this had happened some 4 hours prior to the warrant being executed at the home of the suspect.

Recovering Zone. Identifier Data from a Forensic Image

So how do you deal with a situation where the files might have been deleted? What if the suspect has formatted their disk or deleted the partition? This is where HstEx® becomes very useful. Specifically designed to work in conjunction with NetAnalysis® (and is provided as part of the suite), this powerful software can recover deleted data from a variety of sources and can work with unstructured data; this means it can reassemble information from raw data when no filesystem metadata is available.

In NTFS, the $MFT or Master File Table keeps track of every file on the volume. In the case of the ADS holding the Zone Identifier information, this is likely to be resident as it can be quite small in size. When the value can be accessed directly from within the attribute, it is called “resident data”. This data is small enough to be stored within the MFT entry, rather than out in the file system.

With the release of HstEx® v5.1, we have added the ability to search and recover MFT entries containing resident Zone Identifier data. This provides us with a lot of information regarding the original file. The recovered data is easily read into NetAnalysis® for examination. The image below shows a number of recovered Zone Identifier entries. The Information panel shows the associated MFT attribute information along with the Zone Transfer data from the Zone.Identifier stream.

Forensic Analysis of the Zone.Identifier Stream
NetAnalysis® showing recovered Resident MFT entries containing Zone.Identifier streams

Further Reading

Cheatsheet

Creating ADS from commandline:

‫‪echo This is a hidden message > testfile.txt:hidden_stream

Displaying files with their alternative data streams:

dir /r

Displaying stream of a file:

more < testfile.txt:hidden_stream::$DATA

Zone. Identifier

One of the legitimate usages of alternate data streams is Zone.Identifier. It is a feature used to identify the file origin. In case if the file comes from some untrusted source, i.e. have been downloaded from the internet, Windows displays a security warning before it can be run.

:/>  Как отключить автозапуск программ в Windows 7/8/10, все способы 💻

There are several variants of Zone.Identifier value:

0 My Computer
1 Local Intranet Zone
2 Trusted sites Zone
3 Internet Zone
4 Restricted Sites Zone

file.exe:Zone.Identifier

Sample content of Zone.Identifier of the file downloaded from the internet:

[ZoneTransfer]
ZoneId=3

Calculating Signed Integer Bias Values

Within digital systems, all data, whether they be numbers or characters are represented by strings of binary digits. A problem arises when you want to store negative numbers.

Over the years, hardware designers have developed three different schemes for representing negative numbers: sign and magnitude, ones complement, and twos complement. The most common method for storing negative numbers is twos complement. With this method, the Most Significant Bit (MSB) is used to store the sign.

If the MSB is set, then this represents a NEGATIVE number. This method affords natural arithmetic with no special rules. To represent a negative number in twos complement notation the process is simple:

• Decide upon the number of bits (n)
• Find the binary representation of the +ve value in n-bits
• Flip all the bits (change 1 to 0 and vice versa)
• Add 1

Figure 5 below shows the binary representation of the positive number 5.

Positive_Binary_Number

Negative_Binary_Number

This method makes it extremely easy to add positive and negative numbers together.  For example:

Binary_Addition

It also makes it extremely easy to convert between positive and negative numbers:

Converting_Binary_Numbers

Daily PowerShell #29

November 14, 2021

quote Discuss this Article

When you download a file in Windows an alternate data stream call the Zone.Identifier is included within the file but not within the content of the file. This allows Windows to provide additional information about a file without modifying its content.

ActiveTimeBias

This value is the current time difference from UTC in minutes, regardless of whether daylight saving is in effect or not. It is this value that helps establish the current Time Zone settings. Using the formula above, take this value and add it to local time to get the UTC value.

Accessing an Alternate Data Stream

Get-Item -path D:\Downloads\1-6b4b9.zip -stream *
Windows Powershell Get-Item List Alternate Data Streams
List All Available Streams and Associated Properties
Get-Item -path D:\Downloads\1-6b4b9.zip -stream * | Select-Object -Property Filename, Stream, Length
WIndows Power Shell Stream List
Formatted List of All Available Streams

If we look at the output, we can see two streams, the unnamed data stream and a stream with the name Zone.Identifier. So what is this hidden alternate stream? How did it get attached to this file and what does it contain?

SYSTEMTIME Structure

This data is stored in a common structure called SYTEMTIME. This structure specifies a date and time, using individual members for the month, day, year, weekday, hour, minute, second, and millisecond.

SYSTEMTIME_STRUCTURE

Daylight_Start

Bytes 0 & 1 (0x0000 ) refer to the year from a 1900 time base.  This is only required if the change is year specific and will normally be zero.

Bytes 2 & 3 (0x0003 ) refer to the month, in this case March.

Bytes 4 & 5 (0x0005) refer to the week (starts at 1 and 5 means last).  In this case the last week.

Bytes 6 & 7 (0x0001) refer to the Hour.  In this case it is 0100 Hours.

Bytes 8 & 9 (0x0000) refer to the Minutes.  In this case it is Zero minutes.

Bytes 10 & 11 (0x0000) refer to the Seconds; in this case it is Zero seconds.

Bytes 12 & 13 (0x0000) refer to the Milliseconds, in this case it is Zero milliseconds.

Bytes 14 & 15 (0x0000) refer to the actual Day of the Week (Sunday = 0).  In this case it is Sunday

For our example in Figure 12, Daylight Saving Time (DST) will start on Sunday of the Last Week in March at 0100 Hours.  If we had decoded StandardStart, we would see that DST would end on Sunday of the last week of October at 0200 hours.

ZoneId Property

The ZoneId property identifies the URL Security Zone and flags the download according to its respective level of trust. The code below shows the URLZONE enum and the corresponding values:

typedef enum tagURLZONE { 
  URLZONE_INVALID         = -1,
  URLZONE_PREDEFINED_MIN  = 0,
  URLZONE_LOCAL_MACHINE   = 0,
  URLZONE_INTRANET,
  URLZONE_TRUSTED,
  URLZONE_INTERNET,
  URLZONE_UNTRUSTED,
  URLZONE_PREDEFINED_MAX  = 999,
  URLZONE_USER_MIN        = 1000,
  URLZONE_USER_MAX        = 10000
} URLZONE;

So what exactly do these values mean? According to Microsoft, they contain all the predefined zones used by Windows Internet Explorer:

  • URLZONE_INVALID – This is an invalid zone that is used only if no appropriate zone is available.
  • URLZONE_LOCAL_MACHINE – This zone is used for content already on the user’s local computer.
  • URLZONE_INTRANET – This zone is used for content found on an intranet.
  • URLZONE_TRUSTED – This zone is used for trusted Web sites on the Internet.
  • URLZONE_INTERNET – This zone if for content from the Internet, except for Web sites listed in the trusted or restricted zones.
  • URLZONE_UNTRUSTED – This zone is used for Web sites that are not trusted.
Windows Internet Properties » Security Window » URL Security Zone
Internet Properties Security Tab Showing URL Security Zones

File in file using ADS

We can also hide another file on the alternate data stream. On the below example – we create a new txt file on another. We can then edit it with typical tools:

hidden_channel

alternate

Yet, opening the file by default way, we can only see it’s main stream:

default

We can also paste an existing file on an alternate data stream, by using a command type

Let’s take as an example a demo.dll – it is a 32bit Portable Executable, exporting one function: Test1. We will place it in the alternate stream of test.txt

Forensic Analysis of the Zone.Identifier Stream test.txt:demo” srcset=”https://hshrzd.files.wordpress.com/2016/03/hiding_demo.png 378w, https://hshrzd.files.wordpress.com/2016/03/hiding_demo.png?w=150 150w” sizes=”(max-width: 378px) 100vw, 378px”>

type demo.dll > test.txt:demo

Maybe the alternate stream it is hard to notice – but running it is still very easy:

running_demo

Example 3
Exactly the same can be done with (malicious) macros:

type‬‬ ‫‪malware.vbs‬‬ > ‫‪readme.txt:malware.vbs‬‬
‫‪Wscript‬‬ ‫‪‫‪readme.txt:malware.vbs‬‬

Усложнения в IDENTIFIER-файле

Forensic Analysis of the Zone.Identifier Stream

Проблемные проблемы с открытием IDENTIFIER-файлов

Microsoft Windows не установлен

Вы пытаетесь загрузить IDENTIFIER-файл и получить сообщение об ошибке, например «%%os%% не удается открыть расширение файла IDENTIFIER». Если это так, это обычно связано с тем, что у вас нет Microsoft Windows для %%os%%, установленного на вашем компьютере. Типичный путь открытия документа IDENTIFIER двойным щелчком не будет работать, так как %%os%% не может установить подключение к программе.

Forensic Analysis of the Zone.Identifier Stream

Совет. Когда установлено другое приложение IDENTIFIER, вы можете открыть его, выбрав «Показать приложения» и используя эту программу.

Неверная версия Microsoft Windows

Файл Windows Zone Identifier File несовместим с Microsoft Windows, поскольку возможно, установлена неправильная версия. Загрузите последнюю версию Microsoft Windows с веб-сайта Microsoft Corporation, чтобы убедиться, что у вас установлена правильная версия. Эта проблема в основном связана с наличием версии файла Windows Zone Identifier File, которая была создана более новой версией Microsoft Windows, чем то, что вы установили на вашем компьютере.

Forensic Analysis of the Zone.Identifier Stream

Совет: Иногда вы можете получить подсказку о версии IDENTIFIER-файла, который у вас есть, щелкнув правой кнопкой мыши на файле, а затем нажав на «Свойства» (Windows) или «Получить информацию» (Mac OSX).

Сводка. Наличие правильной версии Microsoft Windows на компьютере может вызвать проблемы с открытием IDENTIFIER-файлов.

Forensic Analysis of the Zone.Identifier Stream

Другие причины проблем при открытии IDENTIFIER-файлов

Хотя на вашем компьютере уже может быть установлено Microsoft Windows или другое программное обеспечение, связанное с IDENTIFIER, вы по-прежнему можете столкнуться с проблемами при открытии файлов Windows Zone Identifier File. Могут возникнуть и другие проблемы – не связанные с программным обеспечением – мешающие вам открывать IDENTIFIER-файлы. К числу дополнительных факторов относятся:

  • Неверные пути к IDENTIFIER-файлам реестра Windows
  • Ошибочное удаление описания реестра Windows IDENTIFIER
  • Недопустимая установка программы, связанной с IDENTIFIER (например, Microsoft Windows)
  • Повреждение файла, влияющее на IDENTIFIER-файл
  • Заражение IDENTIFIER вредоносным ПО
  • Оборудование, связанное с IDENTIFIER, имеет устаревшие драйверы устройств
  • Недостаточно системных ресурсов для успешного открытия файлов Windows Zone Identifier File

Опрос: Какой тип файла вы используете чаще всего на работе / в школе?

Forensic Analysis of the Zone.Identifier Stream

Forensic Analysis of the Zone.Identifier Stream

Establishing the Current Time Zone

To establish the Time Zone setting for a Microsoft Windows system, the forensic examiner can examine the SYSTEM registry hive.  To do this, you need to establish which ControlSet was active when the computer was seized.

Time_Zone_Registry_Key

There you will find 4 keys detailing the Current, Default, Failed and LastKnownGood control sets.  The current control set in the screen below is set to 3.  You can also see the there are three ControlSets numbered 001 to 003.

Registry_Current_Control_Set

Now that this current control set has been identified, we can navigate to that location in the registry and calculate the different values as stored.  In this case, the Time Zone settings are stored here:

ControlSet003

The Time Zone Information for this Control Set is shown in Figure 4.

TimeZoneInformation_Registry

TimeZone_Formula

Расширение файла IDENTIFIER

Microsoft Silver

ActiveTimeBias

If we look once again at the ActiveTimeBias in Figure 9, you will see a signed hexadecimal value.  This can be calculated using twos complement.

Singed_Value

This value is stored in hexadecimal as a 32 bit value, so to work out the value it will need to be converted to binary.  Ignore the fact that on this occasion, the registry editor is showing the decimal value (4294967236) next to it; this is purely because the registry editor does not realise the value has been stored as a signed integer.

Singed_Integer

Convert this to binary:

Calc2

The MSB is set so we know that the above value will be negative.  The next stage is to flip all the bits.  This involves changing 1 to 0 and vice versa.  This can be achieved quickly using the logical NOT function on a scientific calculator.  You must ensure that it is set to deal with the correct number of bits.

Calc3

Add 1 bit to the value above

Calc4

And then convert that value back to decimal, remembering that we are dealing with a negative number:

Calc5

TimeZone_Note

DisableAutoDaylightTimeSet

This will only be visible if the setting to automatically adjust clock for daylight saving has been switched OFF.

Устранение неполадок при открытии файлов ZONE. IDENTIFIER

Forensic Analysis of the Zone.Identifier Stream

Проблемные проблемы с открытием ZONE.IDENTIFIER-файлов

Отсутствует Microsoft Windows

При двойном щелчке ZONE.IDENTIFIER-файла появится сообщение «%%os%% не удается открыть ZONE.IDENTIFIER-файл». Обычно это связано с тем, что у вас нет Microsoft Windows для %%os%% установлен. Типичный путь открытия документа ZONE.IDENTIFIER двойным щелчком не будет работать, так как %%os%% не может установить подключение к программе.

:/>  Аудит безопасности - Sysadminium

Forensic Analysis of the Zone.Identifier Stream

Наконечник: Если у вас не установлен Microsoft Windows, и вы знаете другую программу, чтобы открыть файл ZONE.IDENTIFIER, вы можете попробовать открыть его, выбрав из программ, перечисленных в разделе «Показать приложения».

Неверная версия Microsoft Windows

В некоторых случаях может быть более новая (или более старая) версия файла Microsoft Windows Zone Identifier File, которая не поддерживается установленной версией приложения. Вам нужно будет загрузить более новую версию Microsoft Windows, если у вас нет правильной версии. Ваш файл электронной таблицы, вероятно, был создан более новой версией Microsoft Windows, чем то, что в данный момент установлен на вашем компьютере.

Forensic Analysis of the Zone.Identifier Stream

Совет . Исследуйте ZONE.IDENTIFIER-файл, щелкнув правой кнопкой мыши и выбрав «Свойства», чтобы найти подсказки о том, какая версия вам нужна.

Резюме: В любом случае, большинство проблем, возникающих во время открытия файлов ZONE.IDENTIFIER, связаны с отсутствием на вашем компьютере установленного правильного прикладного программного средства.

Forensic Analysis of the Zone.Identifier Stream

Другие причины проблем при открытии ZONE.IDENTIFIER-файлов

Ошибки при открытии файлов Microsoft Windows Zone Identifier File могут возникать даже с последней версией программного обеспечения Microsoft Windows, установленной на вашем компьютере. Могут возникнуть и другие проблемы – не связанные с программным обеспечением – мешающие вам открывать ZONE.IDENTIFIER-файлы. Проблемы, которые не связаны с программным обеспечением:

  • Ссылки на файлы в реестре Windows для ZONE.IDENTIFIER неверны
  • Ошибочное удаление описания реестра Windows ZONE.IDENTIFIER
  • Microsoft Windows или другое приложение ZONE.IDENTIFIER испытали ошибочную установку
  • Повреждение файла, влияющее на ZONE.IDENTIFIER-файл
  • На ваш документ ZONE.IDENTIFIER негативно повлияли вредоносные программы
  • Драйверы устройств для оборудования, связанного с ZONE.IDENTIFIER, устарели
  • Windows не может загрузить файл электронной Microsoft Windows Zone Identifier File из-за нехватки ресурсов (например, БАРАН)

What is Stored in the Zone. Identifier?

So how can we examine the data contained in the Zone.Identifier stream? One option is to run Powershell and execute the Get-Content command as shown below:

Get-Content -path D:\Downloads\1-6b4b9.zip -stream Zone.Identifier
Windows Powershell Get-Content Zone Identifier
Windows Powershell Get-Content Command

Internet Explorer is not the only web browser to have this functionality. Zone.Identifier streams are written to downloaded files by other browsers such as Microsoft Edge, Edge Legacy, Google Chrome, Mozilla Firefox, Opera and many other Mozilla and Chromium based browsers. Other applications may also implement the functionality.

Отчет о диагностике удаленного доступа


Содержание

Журналы трассировки и событий

  • Трассировка журналов

    • Журналы модема
    • Журналы диспетчера подключений
    • Журнал безопасности IP
  • Журналы событий удаленного доступа
  • Журналы событий безопасности

Сведения об установке

  • Информационные файлы
  • Проверка установки
  • Установленные сетевые компоненты
  • Проверка реестра

Сведения о конфигурации

Трассировка журналов [ Содержание ]

Не удается отобразить журналы трассировки удаленного доступа, или нет файлов журнала, которые требуется отобразить.

Журналы модема [ Содержание ]

 Не удается отобразить журналы трассировки модема, или нет файлов журналов.
                                                                     

Журналы диспетчера подключений [ Содержание ]

 Не удается отобразить журналы диспетчера подключений, или нет файлов журналов.
                                                                     

Журнал безопасности IP [ Содержание ]

 Не удается отобразить журналы трассировки IPsec, или нет файлов журналов.
                                                                     

Журналы событий удаленного доступа [ Содержание ]

Тип события:       Информация
Источник события:  Microsoft-Windows-UserPnp
Категория события: Нет
Код события:       20003
Дата:              20.05.2021
Время:             17:24:57
Пользователь:      NT AUTHORITY\СИСТЕМА
Компьютер:         HITECHNOMERCY
Описание:
Не получить значения разделов реестра. igfxCUIService2.0.0.0 


Тип события:       Информация
Источник события:  Microsoft-Windows-UserPnp
Категория события: Нет
Код события:       20003
Дата:              20.05.2021
Время:             17:24:57
Пользователь:      NT AUTHORITY\СИСТЕМА
Компьютер:         HITECHNOMERCY
Описание:
Не получить значения разделов реестра. cphs 


Тип события:       Информация
Источник события:  Microsoft-Windows-UserPnp
Категория события: Нет
Код события:       20003
Дата:              20.05.2021
Время:             17:24:57
Пользователь:      NT AUTHORITY\СИСТЕМА
Компьютер:         HITECHNOMERCY
Описание:
Не получить значения разделов реестра. igfx 


Тип события:       Информация
Источник события:  Microsoft-Windows-UserPnp
Категория события: Нет
Код события:       20003
Дата:              19.05.2021
Время:             6:00:23
Пользователь:      NT AUTHORITY\СИСТЕМА
Компьютер:         HITECHNOMERCY
Описание:
Не получить значения разделов реестра. NVDisplay.ContainerLocalSystem 


Тип события:       Информация
Источник события:  Microsoft-Windows-UserPnp
Категория события: Нет
Код события:       20003
Дата:              19.05.2021
Время:             6:00:22
Пользователь:      NT AUTHORITY\СИСТЕМА
Компьютер:         HITECHNOMERCY
Описание:
Не получить значения разделов реестра. nvlddmkm 


Тип события:       Информация
Источник события:  Microsoft-Windows-UserPnp
Категория события: Нет
Код события:       20003
Дата:              19.05.2021
Время:             3:25:31
Пользователь:      NT AUTHORITY\СИСТЕМА
Компьютер:         HITECHNOMERCY
Описание:
Не получить значения разделов реестра. Parport 


Тип события:       Информация
Источник события:  Microsoft-Windows-UserPnp
Категория события: Нет
Код события:       20003
Дата:              19.05.2021
Время:             3:25:30
Пользователь:      NT AUTHORITY\СИСТЕМА
Компьютер:         HITECHNOMERCY
Описание:
Не получить значения разделов реестра. Serenum 


Тип события:       Информация
Источник события:  Microsoft-Windows-UserPnp
Категория события: Нет
Код события:       20003
Дата:              19.05.2021
Время:             3:25:30
Пользователь:      NT AUTHORITY\СИСТЕМА
Компьютер:         HITECHNOMERCY
Описание:
Не получить значения разделов реестра. Serial 


Тип события:       Информация
Источник события:  Microsoft-Windows-UserPnp
Категория события: Нет
Код события:       20003
Дата:              19.05.2021
Время:             3:19:49
Пользователь:      NT AUTHORITY\СИСТЕМА
Компьютер:         HITECHNOMERCY
Описание:
Не получить значения разделов реестра. Serenum 


Тип события:       Информация
Источник события:  Microsoft-Windows-UserPnp
Категория события: Нет
Код события:       20003
Дата:              19.05.2021
Время:             3:19:49
Пользователь:      NT AUTHORITY\СИСТЕМА
Компьютер:         HITECHNOMERCY
Описание:
Не получить значения разделов реестра. Serial 

Журналы событий безопасности [ Содержание ]

 Не удается отобразить журналы событий безопасности, или нет записей журналов.
                                                                     

Информационные файлы [ Содержание ]

Имя файла              : C:\WINDOWS\inf\netrasa.inf 
Последнее время записи : 12/07/2019 12:07 
Время создания         : 12/07/2019 12:07 
Размер файла           : 24424 байт 

Имя файла              : C:\WINDOWS\inf\netrass.inf 
Последнее время записи : 12/07/2019 12:07 
Время создания         : 12/07/2019 12:07 
Размер файла           : 5292 байт 

Имя файла              : C:\WINDOWS\inf\netrast.inf 
Последнее время записи : 12/07/2019 12:07 
Время создания         : 12/07/2019 12:07 
Размер файла           : 8186 байт 

Проверка установки [ Содержание ]

sw\{eeab7790-c514-11d1-b42b-00805fc1270e} = Не найдено.
ms_irdaminiport                           = Не найдено.
ms_irmodemminiport                        = Не найдено.
ms_l2tpminiport                           = ОК.
ms_sstpminiport                           = ОК.
ms_pptpminiport                           = ОК.
ms_ptiminiport                            = Не найдено.
ms_pppoeminiport                          = ОК.
ms_ndiswanatalk                           = Не найдено.
ms_ndiswanbh                              = ОК.
ms_ndiswanip                              = ОК.
ms_ndiswanipx                             = Не найдено.
ms_pppoe                                  = ОК.
ms_pptp                                   = Не найдено.
ms_l2tp                                   = Не найдено.
ms_sstp                                   = Не найдено.
ms_rascli                                 = Не найдено.
ms_rassrv                                 = Не найдено.
ms_steelhead                              = Не найдено.
ms_ndiswan                                = ОК.
ms_rasman                                 = Не найдено.

Установленные сетевые компоненты [ Содержание ]

Сетевые адаптеры                                                       
----------------                                                     
ms_ndiswanip         WAN Miniport (IP)
ms_agilevpnminiport  WAN Miniport (IKEv2)
ms_pppoeminiport     WAN Miniport (PPPOE)
ms_l2tpminiport      WAN Miniport (L2TP)
ms_sstpminiport      WAN Miniport (SSTP)
pci\ven_10ec&dev_8168&subsys_85051043&rev_09 Realtek PCIe GBE Family Controller
ms_ndiswanipv6       WAN Miniport (IPv6)
ms_pptpminiport      WAN Miniport (PPTP)
ms_ndiswanbh         WAN Miniport (Network Monitor)
root\kdnic           Microsoft Kernel Debug Network Adapter

Сетевые протоколы                                                       
----------------                                                     
ms_rdma_ndk          Microsoft RDMA — NDK
ms_tcpip             IP версии 4 (TCP/IPv4)
ms_netbt             WINS Client(TCP/IP) Protocol
ms_implat            Протокол мультиплексора сетевого адаптера (Майкрософт)
ms_ndiswanlegacy     Устаревшая версия NDIS-драйвера глобальной сети для удаленного доступа
ms_lldp              Драйвер протокола LLDP (Майкрософт)
ms_wanarp            Драйвер IP ARP для удаленного доступа
ms_tcpip_tunnel      Протокол IP (TCP/IP) — туннели
ms_tcpip6_tunnel     Microsoft TCP/IP версии 6 — туннели
ms_tcpip6            IP версии 6 (TCP/IPv6)
ms_rspndr            Отвечающее устройство обнаружения топологии канального уровня
ms_pppoe             Протокол PPPoE
ms_wanarpv6          Драйвер IPv6 ARP для удаленного доступа
ms_netbt_smb         Message-oriented TCP/IP Protocol (SMB session)
ms_ndisuio           NDIS-протокол ввода-вывода пользовательского режима
ms_ndiswan           NDIS-драйвер глобальной сети для удаленного доступа
ms_lltdio            Ответчик обнаружения топологии канального уровня
netvsc_vfpp          Microsoft NetVsc Failover VF Protocol
ms_xboxgip           Xbox Game Input Protocol Driver

Сетевые службы                                                       
----------------                                                     
ms_netbios           NetBIOS Interface
ms_server            Общий доступ к файлам и принтерам для сетей Microsoft
ms_bridge            MAC-мост (Майкрософт)
ms_wfplwf_lower      Упрощенный фильтр основного MAC-уровня платформы фильтрации Windows
ms_ndiscap           Захват Microsoft NDIS
ms_vwifi             @%windir%\System32\drivers\vwififlt.sys,-105
ms_pacer             Планировщик пакетов QoS
ms_wfplwf_upper      Упрощенный фильтр MAC-уровня 802.3 платформы фильтрации Windows
ms_nativewifip       Фильтр NativeWiFi
ms_wfplwf_vswitch    Платформа фильтрации Microsoft Windows

Сетевые клиенты                                                       
----------------                                                     
ms_msclient          Клиент для сетей Microsoft

Проверка реестра [ Содержание ]

Установленные устройства [ Содержание ]

01 WAN Miniport (PPPOE)                          pppoe          
02 WAN Miniport (PPTP)                           vpn            
03 WAN Miniport (PPTP)                           vpn            
04 WAN Miniport (L2TP)                           vpn            
05 WAN Miniport (L2TP)                           vpn            
06 WAN Miniport (IKEv2)                          vpn            
07 WAN Miniport (IKEv2)                          vpn            
08 WAN Miniport (SSTP)                           vpn            
09 WAN Miniport (SSTP)                           vpn            

Сведения о процессе [ Содержание ]

   0 System Process  
   4 System          
 108 Registry        
 488 smss.exe        
 672 csrss.exe       
 940 wininit.exe     
 948 csrss.exe       Title:  
1020 services.exe    
 376 lsass.exe       Svcs:  EFS,KeyIso,SamSs,VaultSvc
 696 winlogon.exe    
 840 svchost.exe     Svcs:  DcomLaunch,PlugPlay,Power,SystemEventsBroker
 900 fontdrvhost.exe 
 676 fontdrvhost.exe 
 988 WUDFHost.exe    
1100 svchost.exe     Svcs:  RpcEptMapper,RpcSs
1148 svchost.exe     Svcs:  LSM
1216 dwm.exe         Title:  DWM Notification Window
1356 svchost.exe     Svcs:  NcbService
1364 svchost.exe     Svcs:  TimeBrokerSvc
1396 svchost.exe     Svcs:  Schedule
1456 svchost.exe     Svcs:  hidserv
1476 svchost.exe     Svcs:  ProfSvc
1508 svchost.exe     Svcs:  CoreMessagingRegistrar
1568 svchost.exe     Svcs:  EventLog
1628 svchost.exe     Svcs:  UserManager
1780 svchost.exe     Svcs:  nsi
1796 svchost.exe     Svcs:  SEMgrSvc
1836 svchost.exe     Svcs:  Dhcp
1968 svchost.exe     Svcs:  NlaSvc
2020 svchost.exe     Svcs:  DispBrokerDesktopSvc
1492 wsc_proxy.exe   
1672 svchost.exe     Svcs:  EventSystem
1656 svchost.exe     Svcs:  SysMain
1820 svchost.exe     Svcs:  Themes
2092 svchost.exe     Svcs:  netprofm
2156 Memory Compression
2196 svchost.exe     Svcs:  SENS
2404 svchost.exe     Svcs:  Winmgmt
2484 svchost.exe     
2492 svchost.exe     Svcs:  FontCache
2784 svchost.exe     Svcs:  Dnscache
2936 svchost.exe     
2964 svchost.exe     Svcs:  RmSvc
2004 svchost.exe     Svcs:  DusmSvc
1960 svchost.exe     Svcs:  Wcmsvc
2388 svchost.exe     Svcs:  ShellHWDetection
3132 AvastSvc.exe    
3244 svchost.exe     Svcs:  StateRepository
3424 aswToolsSvc.exe 
3728 spoolsv.exe     Svcs:  Spooler
3764 svchost.exe     Svcs:  mpssvc
4052 aswEngSrv.exe   
4272 afwServ.exe     
4388 svchost.exe     Svcs:  wscsvc
4460 svchost.exe     Svcs:  IKEEXT
4468 svchost.exe     Svcs:  iphlpsvc
4480 svchost.exe     Svcs:  CryptSvc
4488 svchost.exe     Svcs:  DPS
4640 svchost.exe     Svcs:  LanmanServer
4672 svchost.exe     Svcs:  SstpSvc
4720 svchost.exe     Svcs:  TrkWks
4736 svchost.exe     Svcs:  WpnService
4832 svchost.exe     Svcs:  TapiSrv
4892 svchost.exe     Svcs:  WdiServiceHost
5364 svchost.exe     Svcs:  RasMan
5928 svchost.exe     Svcs:  PolicyAgent
4444 sihost.exe      Title:  
4448 svchost.exe     Svcs:  CDPUserSvc_83669
6732 svchost.exe     Svcs:  WpnUserService_83669
3652 taskhostw.exe   Title:  Task Host Window
3948 svchost.exe     Svcs:  TokenBroker
2872 svchost.exe     Svcs:  TabletInputService
7240 ctfmon.exe      Title:  
7384 svchost.exe     
7480 explorer.exe    Title:  Program Manager
8112 svchost.exe     Svcs:  lfsvc
7776 SearchIndexer.exeSvcs:  WSearch
9376 SecurityHealthService.exeSvcs:  SecurityHealthService
9544 AvastUI.exe     Title:  CAvastTrayIcon
1984 svchost.exe     Svcs:  DoSvc
9472 svchost.exe     Svcs:  StorSvc
5812 SgrmBroker.exe  Svcs:  SgrmBroker
2264 svchost.exe     Svcs:  UsoSvc
6276 svchost.exe     Svcs:  OneSyncSvc_83669,PimIndexMaintenanceSvc_83669,UnistoreSvc_83669,UserDataSvc_83669
7748 svchost.exe     Svcs:  cbdhsvc_83669
9312 AvastUI.exe     
4976 AvastUI.exe     
6644 svchost.exe     
9932 svchost.exe     Svcs:  PcaSvc
6292 AvastUI.exe     
10428 svchost.exe     Svcs:  LicenseManager
3820 svchost.exe     
8980 svchost.exe     Svcs:  WinHttpAutoProxySvc
11576 svchost.exe     
9600 svchost.exe     Svcs:  SDRSVC
11164 svchost.exe     Svcs:  SSDPSRV
12280 svchost.exe     Svcs:  DsSvc
11884 svchost.exe     Svcs:  NetSetupSvc
10188 svchost.exe     Svcs:  Netman
13232 WmiPrvSE.exe    
4964 audiodg.exe     
12348 SearchProtocolHost.exe
11080 svchost.exe     
6204 svchost.exe     
8204 svchost.exe     Svcs:  WdiSystemHost
8564 svchost.exe     Svcs:  BcastDVRUserService_83669
9456 explorer.exe    Title:  Панель управления\Все элементы панели управления\Сетевые подключения
11236 notepad.exe     Title:  hijackthis.log – Блокнот
6268 SearchFilterHost.exe
5484 WmiPrvSE.exe    
6840 svchost.exe     
 860 StartMenuExperienceHost.exeTitle:  Начальный экран
8168 RuntimeBroker.exe
10920 SearchApp.exe   Title:  Поиск
8732 RuntimeBroker.exe
4284 game.exe        Title:  HijackThis Beta
11100 NVDisplay.Container.exeSvcs:  NVDisplay.ContainerLocalSystem
6576 nvcontainer.exe Svcs:  NvContainerLocalSystem
7536 NVDisplay.Container.exeTitle:  NvSvc
11380 rundll32.exe    Title:  RxDiag Message Pump 2021 NVIDIA Corporation Mar  3 2021 20:47:05
13056 WmiPrvSE.exe    
8952 nvcontainer.exe Title:  BroadcastListenerWindow
12832 vds.exe         Svcs:  vds
11608 ShellExperienceHost.exeTitle:  Хост Windows Shell Experience
12100 RuntimeBroker.exeTitle:  OLEChannelWnd
10900 dllhost.exe     Title:  OleMainThreadWndName

Служебные программы командной строки [ Содержание ]

arp.exe -a [ Содержание ]

ЌҐ ­ ©¤Ґ­л § ЇЁбЁ ў в Ў«ЁжҐ ARP.

ipconfig.exe /all [ Содержание ]

Ќ бва®©Є  Їа®в®Є®«  IP ¤«п Windows

   €¬п Є®¬ЇмовҐа   . . . . . . . . . : HITECHNOMERCY
   Ћб­®ў­®© DNS-бгддЁЄб  . . . . . . : 
   ’ЁЇ 㧫 . . . . . . . . . . . . . : ѓЁЎаЁ¤­л©
   IP-¬ аиагвЁ§ жЁп ўЄ«о祭  . . . . : ЌҐв
   WINS-Їа®ЄбЁ ўЄ«о祭 . . . . . . . : ЌҐв

ipconfig.exe /displaydns [ Содержание ]

Ќ бва®©Є  Їа®в®Є®«  IP ¤«п Windows


route.exe print [ Содержание ]

===========================================================================
‘ЇЁб®Є Ё­вҐа䥩ᮢ
  1...........................Software Loopback Interface 1
===========================================================================

IPv4 в Ў«Ёж  ¬ аиагв 
===========================================================================
ЂЄвЁў­лҐ ¬ аиагвл:
‘ҐвҐў®©  ¤аҐб           Њ бЄ  бҐвЁ      Ђ¤аҐб и«о§        €­вҐадҐ©б  ЊҐваЁЄ 
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    331
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    331
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    331
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    331
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    331
===========================================================================
Џ®бв®п­­лҐ ¬ аиагвл:
  ЋвбгвбвўгҐв

IPv6 в Ў«Ёж  ¬ аиагв 
===========================================================================
ЂЄвЁў­лҐ ¬ аиагвл:
 ЊҐваЁЄ    ‘ҐвҐў®©  ¤аҐб            «о§
  1    331 ::1/128                  On-link
  1    331 ff00::/8                 On-link
===========================================================================
Џ®бв®п­­лҐ ¬ аиагвл:
  ЋвбгвбвўгҐв

net.exe start [ Содержание ]

‡ Їг饭л б«Ґ¤гойЁҐ б«г¦Ўл Windows:

   Avast Antivirus
   Avast Firewall Service
   Avast Tools
   AvastWscReporter
   CoreMessaging
   DHCP-Є«ЁҐ­в
   DNS-Є«ЁҐ­в
   NVIDIA Display Container LS
   NVIDIA LocalSystem Container
   Plug and Play
   SysMain
   Windows Audio
   Windows Search
   ЂЈҐ­в Ї®«ЁвЁЄЁ IPsec
   Ѓа ­¤¬ гна ‡ йЁв­ЁЄ  Windows
   Ѓа®ЄҐа ўаҐ¬Ґ­Ё
   Ѓа®ЄҐа ¬®­Ёв®аЁ­Ј  баҐ¤л ўлЇ®«­Ґ­Ёп System Guard
   Ѓа®ЄҐа бЁб⥬­ле б®ЎлвЁ©
   ‚Ёавг «м­л© ¤ЁбЄ
   ‚бЇ®¬®Ј вҐ«м­ п б«г¦Ў  IP
   „ЁбЇҐвзҐа «®Є «м­ле ᥠ­б®ў
   „ЁбЇҐвзҐа ЇҐз вЁ
   „ЁбЇҐвзҐа Ї« вҐ¦Ґ© Ё NFC/§ йЁйҐ­­ле н«Ґ¬Ґ­в®ў
   „ЁбЇҐвзҐа Ї®¤Є«о祭Ё© Windows
   „ЁбЇҐвзҐа Ї®¤Є«о祭Ё© г¤ «Ґ­­®Ј® ¤®бвгЇ 
   „ЁбЇҐвзҐа Ї®«м§®ў вҐ«Ґ©
   „ЁбЇҐвзҐа гзҐв­ле ўҐЎ-§ ЇЁбҐ©
   „ЁбЇҐвзҐа гзҐв­ле ¤ ­­ле
   „ЁбЇҐвзҐа гзҐв­ле § ЇЁбҐ© ЎҐ§®Ї б­®бвЁ
   „®бвгЇ Є HID-гбва®©бвў ¬
   †га­ « б®ЎлвЁ© Windows
   €§®«пжЁп Є«о祩 CNG
   €­бва㬥­в аЁ© гЇа ў«Ґ­Ёп Windows
   €бЇ®«м§®ў ­ЁҐ ¤ ­­ле
   Љ«ЁҐ­в ®вб«Ґ¦Ёў ­Ёп Ё§¬Ґ­ЁўиЁебп бўп§Ґ©
   Њ®¤г«Ё Є«о祩 IPsec ¤«п ®Ў¬Ґ­  Є«оз ¬Ё ў €­вҐа­ҐвҐ Ё Їа®в®Є®«  IP б Їа®ўҐаЄ®© Ї®¤«Ё­­®бвЁ
   Њ®¤г«м § ЇгбЄ  Їа®жҐбб®ў DCOM-бҐаўҐа 
   ЋЎ­ а㦥­ЁҐ SSDP
   ЋЇаҐ¤Ґ«Ґ­ЁҐ ®Ў®а㤮ў ­Ёп ®Ў®«®зЄЁ
   ЋЇвЁ¬Ё§ жЁп ¤®бв ўЄЁ
   ЏЁв ­ЁҐ
   Џ« ­Ёа®ўйЁЄ § ¤ ­Ё©
   Џ®«м§®ў вҐ«мбЄ п б«г¦Ў  DVR ¤«п ЁЈа Ё ва ­б«пжЁЁ_83669
   Џ®«м§®ў вҐ«мбЄ п б«г¦Ў  push-㢥¤®¬«Ґ­Ё© Windows_83669
   Џ®«м§®ў вҐ«мбЄ п б«г¦Ў  ЎгдҐа  ®Ў¬Ґ­ _83669
   Џ®б।­ЁЄ Ї®¤Є«о祭Ё© Є бҐвЁ
   Џа®Ја ¬¬   аеЁў жЁЁ ¤ ­­ле
   ‘ўҐ¤Ґ­Ёп ® ЇаЁ«®¦Ґ­ЁЁ
   ‘ҐаўҐа
   ‘ҐвҐўлҐ Ї®¤Є«о祭Ёп
   ‘Ё­еа®­Ё§ жЁп 㧫 _83669
   ‘Ёб⥬  б®ЎлвЁ© COM+
   ‘«г¦Ў  "ЃҐ§®Ї б­®бвм Windows"
   ‘«г¦Ў  AVCTP
   ‘«г¦Ў  SSTP
   ‘«г¦Ў  Windows License Manager
   ‘«г¦Ў   ўв®¬ вЁзҐбЄ®Ј® ®Ў­ а㦥­Ёп ўҐЎ-Їа®ЄбЁ WinHTTP
   ‘«г¦Ў  Ў §®ў®© дЁ«мва жЁЁ
   ‘«г¦Ў  ЈҐ®Ја дЁзҐбЄ®Ј® Ї®«®¦Ґ­Ёп
   ‘«г¦Ў  ¤ЁбЇҐвзҐа  ¤®бвгЇ  Є ў®§¬®¦­®бвп¬
   ‘«г¦Ў  ¤®бвгЇ  Є ¤ ­­л¬ Ї®«м§®ў вҐ«п_83669
   ‘«г¦Ў  Ё­вҐадҐ©б  б®еа ­Ґ­Ёп бҐвЁ
   ‘«г¦Ў  Ё­да бвагЄвгал д®­®ўле § ¤ з
   ‘«г¦Ў  Є®­в Єв­ле ¤ ­­ле_83669
   ‘«г¦Ў  Єни  иаЁдв®ў Windows
   ‘«г¦Ў  ­ бва®©ЄЁ бҐвЁ
   ‘«г¦Ў  ®аЄҐбва в®а  ®Ў­®ў«Ґ­Ё©
   ‘«г¦Ў  Ї« вд®а¬л Ї®¤Є«о祭­ле гбва®©бвў
   ‘«г¦Ў  Ї®«ЁвЁЄЁ ¤Ё Ј­®бвЁЄЁ
   ‘«г¦Ў  Ї®«ЁвЁЄЁ ®в®Ўа ¦Ґ­Ёп
   ‘«г¦Ў  Ї®«м§®ў вҐ«п Ї« вд®а¬л Ї®¤Є«о祭­ле гбва®©бвў_83669
   ‘«г¦Ў  Ї®¬®й­ЁЄ  Ї® б®ў¬ҐбвЁ¬®бвЁ Їа®Ја ¬¬
   ‘«г¦Ў  Їа®дЁ«Ґ© Ї®«м§®ў вҐ«Ґ©
   ‘«г¦Ў  а §ўҐавлў ­Ёп AppX (AppXSVC)
   ‘«г¦Ў  ९®§Ёв®аЁп б®бв®п­Ё©
   ‘«г¦Ў  ᢥ¤Ґ­Ё© ® Ї®¤Є«о祭­ле бҐвпе
   ‘«г¦Ў  ᥭб®а­®© Є« ўЁ вгал Ё Ї ­Ґ«Ё агЄ®ЇЁб­®Ј® ўў®¤ 
   ‘«г¦Ў  бЁб⥬л push-㢥¤®¬«Ґ­Ё© Windows
   ‘«г¦Ў  б®ў¬Ґбв­®Ј® ¤®бвгЇ  Є ¤ ­­л¬
   ‘«г¦Ў  бЇЁбЄ  бҐвҐ©
   ‘«г¦Ў  㢥¤®¬«Ґ­Ёп ® бЁб⥬­ле б®ЎлвЁпе
   ‘«г¦Ў  гЇа ў«Ґ­Ёп а ¤Ё®
   ‘«г¦Ў  еа ­Ґ­Ёп ¤ ­­ле Ї®«м§®ў вҐ«п_83669
   ‘«г¦Ў  еа ­Ё«Ёй 
   ‘«г¦Ўл ЄаЁЇв®Ја дЁЁ
   ‘®Ї®бв ўЁвҐ«м Є®­Ґз­ле в®зҐЄ RPC
   ‘।бвў® Ї®бв஥­Ёп Є®­Ґз­ле в®зҐЄ Windows Audio
   ’Ґ«Ґд®­Ёп
   ’Ґ¬л
   “¤ «Ґ­­л© ўл§®ў Їа®жҐ¤га (RPC)
   “§Ґ« бЁбвҐ¬л ¤Ё Ј­®бвЁЄЁ
   “§Ґ« б«г¦Ўл ¤Ё Ј­®бвЁЄЁ
   “Їа ў«Ґ­ЁҐ ЇаЁ«®¦Ґ­Ёп¬Ё
   ”®­®ў п Ё­вҐ««ҐЄвг «м­ п б«г¦Ў  ЇҐаҐ¤ зЁ (BITS)
   –Ґ­ва ®ЎҐбЇҐзҐ­Ёп ЎҐ§®Ї б­®бвЁ
   Ёда®ў ­­ п д ©«®ў п бЁб⥬  (EFS)

Љ®¬ ­¤  ўлЇ®«­Ґ­  гбЇҐи­®.


netstat.exe -e [ Содержание ]

‘в вЁбвЁЄ  Ё­вҐа䥩б 

                           Џ®«г祭®            ЋвЇа ў«Ґ­®

Ѓ ©в                              0               0
Ћ¤­® ¤аҐб­лҐ Ї ЄҐвл               0               0
Њ­®Ј® ¤аҐб­лҐ Ї ЄҐвл              0               0
ЋвЎа®иҐ­®                         0               0
ЋиЁЎЄЁ                            0               0
ЌҐЁ§ўҐбв­л© Їа®в®Є®«              0

netstat.exe -o [ Содержание ]

ЂЄвЁў­лҐ Ї®¤Є«о祭Ёп

  €¬п    ‹®Є «м­л©  ¤аҐб        ‚­Ґи­Ё©  ¤аҐб          ‘®бв®п­ЁҐ       PID

netstat.exe -s [ Содержание ]

‘в вЁбвЁЄ  IPv4

  Џ®«г祭® Ї ЄҐв®ў                   = 837247
  Џ®«г祭® ®иЁЎ®Є ў § Ј®«®ўЄ е       = 0
  Џ®«г祭® ®иЁЎ®Є ў  ¤аҐб е          = 0
  Ќ Їа ў«Ґ­® ¤ в Ја ¬¬               = 0
  Џ®«г祭® ­ҐЁ§ўҐбв­ле Їа®в®Є®«®ў    = 5
  ЋвЎа®иҐ­® Ї®«г祭­ле Ї ЄҐв®ў       = 1600
  „®бв ў«Ґ­® Ї®«г祭­ле Ї ЄҐв®ў      = 1168292
  ‡ Їа®б®ў ­  ўлў®¤                  = 833568
  ЋвЎа®иҐ­® ¬ аиагв®ў                = 0
  ЋвЎа®иҐ­® ўл室­ле Ї ЄҐв®ў         = 0
  ‚л室­ле Ї ЄҐв®ў ЎҐ§ ¬ аиагв       = 50
  ’ॡгҐвбп бЎ®аЄ                    = 0
  “бЇҐи­ п бЎ®аЄ                     = 0
  ‘Ў®Ґў ЇаЁ бЎ®аЄҐ                   = 0
  “бЇҐи­® да Ј¬Ґ­вЁа®ў ­® ¤ в Ја ¬¬  = 0
  ‘Ў®Ґў ЇаЁ да Ј¬Ґ­в жЁЁ ¤ в Ја ¬¬   = 0
  ‘®§¤ ­® да Ј¬Ґ­в®ў                 = 0

‘в вЁбвЁЄ  IPv6

  Џ®«г祭® Ї ЄҐв®ў                   = 0
  Џ®«г祭® ®иЁЎ®Є ў § Ј®«®ўЄ е       = 0
  Џ®«г祭® ®иЁЎ®Є ў  ¤аҐб е          = 0
  Ќ Їа ў«Ґ­® ¤ в Ја ¬¬               = 0
  Џ®«г祭® ­ҐЁ§ўҐбв­ле Їа®в®Є®«®ў    = 0
  ЋвЎа®иҐ­® Ї®«г祭­ле Ї ЄҐв®ў       = 0
  „®бв ў«Ґ­® Ї®«г祭­ле Ї ЄҐв®ў      = 6658420
  ‡ Їа®б®ў ­  ўлў®¤                  = 6658425
  ЋвЎа®иҐ­® ¬ аиагв®ў                = 0
  ЋвЎа®иҐ­® ўл室­ле Ї ЄҐв®ў         = 0
  ‚л室­ле Ї ЄҐв®ў ЎҐ§ ¬ аиагв       = 0
  ’ॡгҐвбп бЎ®аЄ                    = 0
  “бЇҐи­ п бЎ®аЄ                     = 0
  ‘Ў®Ґў ЇаЁ бЎ®аЄҐ                   = 0
  “бЇҐи­® да Ј¬Ґ­вЁа®ў ­® ¤ в Ја ¬¬  = 0
  ‘Ў®Ґў ЇаЁ да Ј¬Ґ­в жЁЁ ¤ в Ја ¬¬   = 0
  ‘®§¤ ­® да Ј¬Ґ­в®ў                 = 0

‘в вЁбвЁЄ  ICMPv4

                            Џ®«г祭®   ЋвЇа ў«Ґ­®
  ‘®®ЎйҐ­Ё©                 459         959       
  ЋиЁЎ®Є                    0           0         
  'Ќ §­ зҐ­ЁҐ ­Ґ¤®бвЁ¦Ё¬®'  399         893       
  ЏаҐўл襭Ё© ўаҐ¬Ґ­Ё        38          0         
  ЋиЁЎ®Є ў Ї а ¬Ґва е       0           0         
  Џа®бмЎ "б­Ё§Ёвм бЄ®а®бвм" 0           0         
  ЏҐаҐ ¤аҐб®ў ­®            0           0         
  ЋвўҐв­ле Ї ЄҐв®ў          22          0         
  ќе®-б®®ЎйҐ­Ё©             0           66        
  Ћв¬Ґв®Є ўаҐ¬Ґ­Ё           0           0         
  ЋвўҐвл ­  ®в¬ҐвЄЁ ўаҐ¬Ґ­Ё  0           0         
  Њ б®Є  ¤аҐб®ў             0           0         
  ЋвўҐв®ў ­  ¬ бЄЁ  ¤аҐб®ў  0           0         
  Њ аиагвЁ§ в®а             0           0         
  Њ аиагвЁ§ в®а             0           0         

ICMPv6 ‘в вЁбвЁЄ 

                            Џ®«г祭®    ЋвЇа ў«Ґ­®
  ‘®®ЎйҐ­Ё©                 0           0         
  ЋиЁЎ®Є                    0           0         
  'Ќ §­ зҐ­ЁҐ ­Ґ¤®бвЁ¦Ё¬®'  0           0         
  Џ ЄҐв б«ЁиЄ®¬ ўҐ«ЁЄ       0           0         
  ЏаҐўл襭Ё© ўаҐ¬Ґ­Ё        0           0         
  ЋиЁЎ®Є ў Ї а ¬Ґва е       0           0         
  ќе®-б®®ЎйҐ­Ё©             0           0         
  ЋвўҐв­ле Ї ЄҐв®ў          0           0         
  MLD-§ Їа®бл               0           0         
  MLD-®взҐвл                0           0         
  MLD ўлЇ®«­Ґ­®             0           0         
  Њ аиагвЁ§ в®а             0           0         
  Њ аиагвЁ§ в®а             0           0         
  ЋЄа㦥­ЁҐ                 0           0         
  ЋЄа㦥­ЁҐ                 0           0         
  ЏҐаҐ ¤аҐб®ў ­®            0           0         
  ЏҐаҐ­г¬Ґа. ¬ аиагвЁ§ в®а  0           0         

‘в вЁбвЁЄ  TCP ¤«п IPv4

  ЂЄвЁў­ле ®вЄалв®                    = 19508
  Џ ббЁў­ле ®вЄалв®                   = 119
  ‘Ў®Ґў ЇаЁ Ї®¤Є«о祭ЁЁ               = 4396
  ‘Ўа®иҐ­® Ї®¤Є«о祭Ё©                = 1208
  ’ҐЄгйЁе Ї®¤Є«о祭Ё©                 = 0
  Џ®«г祭® ᥣ¬Ґ­в®ў                  = 1170661
  ЋвЇа ў«Ґ­® ᥣ¬Ґ­в®ў                = 460623
  Џ®ўв®а­® ®вЇа ў«Ґ­® ᥣ¬Ґ­в®ў       = 0

‘в вЁбвЁЄ  TCP ¤«п IPv6

  ЂЄвЁў­ле ®вЄалв®                    = 3690
  Џ ббЁў­ле ®вЄалв®                   = 497
  ‘Ў®Ґў ЇаЁ Ї®¤Є«о祭ЁЁ               = 3533
  ‘Ўа®иҐ­® Ї®¤Є«о祭Ё©                = 504
  ’ҐЄгйЁе Ї®¤Є«о祭Ё©                 = 0
  Џ®«г祭® ᥣ¬Ґ­в®ў                  = 6386968
  ЋвЇа ў«Ґ­® ᥣ¬Ґ­в®ў                = 3187156
  Џ®ўв®а­® ®вЇа ў«Ґ­® ᥣ¬Ґ­в®ў       = 0

‘в вЁбвЁЄ  UDP ¤«п IPv4

  Џ®«г祭® ¤ в Ја ¬¬    = 8694
  ЋвбгвбвўЁҐ Ї®ав®ў     = 1406
  ЋиЁЎЄЁ ЇаЁ Ї®«г祭ЁЁ  = 2783
  ЋвЇа ў«Ґ­® ¤ в Ја ¬¬  = 12328

‘в вЁбвЁЄ  UDP ¤«п IPv6

  Џ®«г祭® ¤ в Ја ¬¬    = 284106
  ЋвбгвбвўЁҐ Ї®ав®ў     = 0
  ЋиЁЎЄЁ ЇаЁ Ї®«г祭ЁЁ  = 0
  ЋвЇа ў«Ґ­® ¤ в Ја ¬¬  = 284106

netstat.exe -n [ Содержание ]

ЂЄвЁў­лҐ Ї®¤Є«о祭Ёп

  €¬п    ‹®Є «м­л©  ¤аҐб        ‚­Ґи­Ё©  ¤аҐб          ‘®бв®п­ЁҐ

nbtstat.exe -c [ Содержание ]

 Не удается отобразить результаты служебных программ консоли.          
                                                                     

nbtstat.exe -n [ Содержание ]

 Не удается отобразить результаты служебных программ консоли.          
                                                                     

nbtstat.exe -r [ Содержание ]

 Не удается отобразить результаты служебных программ консоли.          
                                                                     

nbtstat.exe -S [ Содержание ]

 Не удается отобразить результаты служебных программ консоли.          
                                                                     

netsh.exe dump [ Содержание ]

#========================
# Љ®­дЁЈга жЁп Ё­вҐа䥩б 
#========================
pushd interface 


popd
# Љ®­Ґж Є®­дЁЈга жЁЁ Ё­вҐа䥩б 



# ----------------------------------
# Љ®­дЁЈга жЁп 6to4
# ----------------------------------
pushd interface 6to4

reset



popd
# Љ®­Ґж Є®­дЁЈга жЁЁ 6to4



# ----------------------------------
# Љ®­дЁЈга жЁп IPHTTPS
# ----------------------------------
pushd interface httpstunnel

reset


popd
# Љ®­Ґж Є®­дЁЈга жЁЁ IPHTTPS



# ----------------------------------
# Љ®­дЁЈга жЁп IPv4
# ----------------------------------
pushd interface ipv4

reset


popd
# Љ®­Ґж Є®­дЁЈга жЁЁ  IPv4



# ----------------------------------
# Љ®­дЁЈга жЁп IPv6
# ----------------------------------
pushd interface ipv6

reset
set interface interface="Ethernet (®в« ¤зЁЄ п¤а )" forwarding=enabled advertise=enabled nud=enabled ignoredefaultroutes=disabled
set interface interface="Ethernet" forwarding=enabled advertise=enabled nud=enabled ignoredefaultroutes=disabled


popd
# Љ®­Ґж Є®­дЁЈга жЁЁ  IPv6



# ----------------------------------
# Љ®­дЁЈга жЁп ISATAP
# ----------------------------------
pushd interface isatap



popd
# Љ®­Ґж Є®­дЁЈга жЁЁ ISATAP



# ----------------------------------
# Љ®­дЁЈга жЁп 6to4
# ----------------------------------
pushd interface 6to4

reset



popd
# Љ®­Ґж Є®­дЁЈга жЁЁ 6to4



# ----------------------------------
# Љ®­дЁЈга жЁп ISATAP
# ----------------------------------
pushd interface isatap



popd
# Љ®­Ґж Є®­дЁЈга жЁЁ ISATAP


#===========================
# Љ®­дЁЈга жЁп Ї®ав®ў Їа®ЄбЁ
#===========================
pushd interface portproxy

reset


popd

# Љ®­Ґж Є®­дЁЈга жЁЁ Ї®ав®ў Їа®ЄбЁ



# ----------------------------------
# Љ®­дЁЈга жЁп TCP
# ----------------------------------
pushd interface tcp

reset

set global rss=enabled autotuninglevel=normal congestionprovider=default ecncapability=disabled timestamps=disabled initialrto=1000 rsc=enabled nonsackrttresiliency=disabled maxsynretransmissions=4 fastopen=enabled fastopenfallback=enabled hystart=enabled prr=enabled pacingprofile=off


popd
# Љ®­Ґж Є®­дЁЈга жЁЁ TCP



# ----------------------------------
# Љ®­дЁЈга жЁп Teredo
# ----------------------------------
pushd interface teredo
set state type=disabled servername=win1910.ipv6.microsoft.com. servervirtualip=0.0.0.0



popd
# Љ®­Ґж Є®­дЁЈга жЁЁ Teredo



# ----------------------------------
# Љ®­дЁЈга жЁп UDP
# ----------------------------------
pushd interface udp

reset

set global uro=disabled


popd
# Љ®­Ґж Є®­дЁЈга жЁЁ UDP


# ------------------------------------
# Ќ бва®©Є  ¬®бв  (­Ґ Ї®¤¤Ґа¦Ёў Ґвбп)
# ------------------------------------

# ------------------------------------
# Љ®­Ґж ­ бва®©ЄЁ ¬®бв 
# ------------------------------------

Љ®¬ ­¤  "netsh advfirewall dump" ­Ґ ॠ«Ё§®ў ­  ў нв®© ўҐабЁЁ
Windows. €бЇ®«м§г©вҐ ў¬Ґбв® нв®Ј® Є®¬ ­¤г "netsh advfirewall export" ¤«п § ЇЁбЁ
⥪г饩 Є®­дЁЈга жЁЁ Ўа ­¤¬ гна  Windows ў ०Ё¬Ґ Ї®ўл襭­®© ЎҐ§®Ї б­®бвЁ Ё§
⥪г饣® еа ­Ё«Ёй  Ї®«ЁвЁЄ ў д ©« ­  ¤ЁбЄҐ. ‡ вҐ¬ ¬®¦­® ЁбЇ®«м§®ў вм Є®¬ ­¤г "netsh
advfirewall import" ¤«п з⥭Ёп д ©«  Ё ҐЈ® § Јаг§ЄЁ ў ¤агЈ®Ґ еа ­Ё«ЁйҐ Ї®«ЁвЁЄ,
­ ЇаЁ¬Ґа ў ®ЎкҐЄв ЈагЇЇ®ў®© Ї®«ЁвЁЄЁ Ё«Ё ⥪г饥 еа ­Ё«ЁйҐ Ї®«ЁвЁЄ
­  ¤агЈ®¬ Є®¬ЇмовҐаҐ. —в®Ўл § ¤ вм ⥪г饥 еа ­Ё«ЁйҐ Ї®«ЁвЁЄ, ЁбЇ®«м§г©вҐ Є®¬ ­¤г "netsh
advfirewall set store".
„®Ї®«­ЁвҐ«м­лҐ ᢥ¤Ґ­Ёп ® Є®¬ ­¤ е ў Є®­вҐЄб⥠netsh advfirewall
б¬. ў бв вмҐ "Љ®¬ ­¤л Netsh ¤«п Ўа ­¤¬ гна  Windows ў ०Ё¬Ґ Ї®ўл襭­®© ЎҐ§®Ї б­®бвЁ" Ї®  ¤аҐбг
https://go.microsoft.com/fwlink/?linkid=111237.
# ----------------------------------------
# Ќ бва®©Є  Їа®ў®¤­®© «®Є «м­®© бҐвЁ
# ----------------------------------------
pushd lan


popd

# Љ®­Ґж ­ бва®©ЄЁ Їа®ў®¤­®© «®Є «м­®© бҐвЁ


„ ¬Ї Є®­дЁЈга жЁЁ ¬®ЎЁ«м­®Ј® иЁа®Є®Ї®«®б­®Ј® Ї®¤Є«о祭Ёп ­Ґ Ї®¤¤Ґа¦Ёў Ґвбп

                                            
# ----------------------------------------- 
# Љ®­дЁЈга жЁп RAS                          
# ----------------------------------------- 
pushd ras




popd

# Љ®­Ґж Є®­дЁЈга жЁЁ RAS.                    
                                             
                                             

                                            
# ------------------------------------------- 
# Љ®­дЁЈга жЁп ¤Ё Ј­®бвЁЄЁ г¤ «Ґ­­®Ј® ¤®бвгЇ    
# ------------------------------------------- 
pushd ras diagnostics

set rastracing component = * state = disabled

set modemtracing state = disabled

set cmtracing state = disabled

set securityeventlog state = disabled



popd

# Љ®­Ґж Є®­дЁЈга жЁЁ ¤Ё Ј­®бвЁЄЁ г¤ «Ґ­­®Ј® ¤®бвгЇ .
                                                 
                                                 

                                            
# ----------------------------------------- 
# Љ®­дЁЈга жЁп г¤ «Ґ­­®Ј® ¤®бвгЇ  AAAA
# ----------------------------------------- 
pushd ras aaaa


popd

# Љ®­Ґж AAAA-Є®­дЁЈга жЁЁ.     
                                               
                                               


# -----------------------------------------
# Љ®­дЁЈга жЁп Їа®ЄбЁ-бҐаўҐа®ў WinHTTP
# -----------------------------------------
pushd winhttp

reset proxy

popd

# Љ®­Ґж Є®­дЁЈга жЁЁ Їа®ЄбЁ-бҐаўҐа®ў WinHTTP


netsh.exe namespace show policy [ Содержание ]

Џ а ¬Ґвал в Ў«Ёжл Ї®«ЁвЁЄЁ а §аҐиҐ­Ёп DNS-Ё¬Ґ­



Файлы телефонных книг [ Содержание ]

 Не удается отобразить системную телефонную книгу удаленного доступа, 
 или нет подключений удаленного доступа.                                 
                                                                     

StandardBias

This value is added to the value of the Bias member to form the bias used during standard time. In most time zones the value of this member is zero.

:/>  400 символов в биты, калькулятор онлайн, конвертер

Резюме файла IDENTIFIER

Файлы IDENTIFIER связаны с один типом (-ами) файлов, и их можно просматривать с помощью Microsoft Windows, разработанного Microsoft Corporation. В целом, этот формат связан с один существующим (-и) прикладным (-и) программным (-и) средством (-ами). Обычно они имеют формат Windows Zone Identifier File.
Чаще всего файлы IDENTIFIER классифицируют, как System Files.

Файлы с расширением IDENTIFIER были идентифицированы на настольных компьютерах (и некоторых мобильных устройствах). Они полностью или частично поддерживаются Windows.

Рейтинг популярности расширения файла IDENTIFIER составляет «Низкий», что означает, что эти файлы, как правило, не встречаются в большинстве файловых хранилищ пользователя.

Распространенность
Статус
Страница Последнее обновление

FileViewPro открывает файлы IDENTIFIER

Forensic Analysis of the Zone.Identifier Stream

DaylightName

The Operating System uses this name during daylight saving months to display the current time Zone setting.

Zone Identifier, ADS and URL Zones

If you are new to the field of digital forensics, you may not be aware of Zone Identifiers, Alternate Data Streams (ADS) or URL Zones. If that is the case, then you have come to the right place. We shall explain all and show you exactly how they can help you during an investigation. First of all, we need to take a look at Alternate Data Streams.

ADS and PowerShell

PowerShell comes with a built-in feature to read ADS. There are several commands that can be used to read and edit them:

  • Get-Item
  • Set-Item
  • Remove-Item
  • Add-Content
  • Get-Content
  • Set-Content

Listing all the streams of a file:

Get-Item -Path [filename] -Stream *

Adding hidden message into ADS:

Add-Content -Path [filename] -Value [my hidden message] -Stream [new_stream]

DaylightBias

This value specifies a bias value to be used during local time translations that occur during daylight time. This value is added to the value of the Bias member to form the bias used during daylight time. In most time zones the value of this member is –60.

Типы IDENTIFIER

Основной тип IDENTIFIER

Forensic Analysis of the Zone.Identifier Stream

Файл IDENTIFIER представляет собой файл, который содержит метаданные, описывающие зоны безопасности, связанные с другим файлом IDENTIFIER file.The генерируется автоматически при загрузке файла из Интернета или полученные в электронной attachment.The IDENTIFIER Файл часто созданные файлы идентификаторы Интернета Explorer.Zone также известны как «альтернативный поток данных» (ADS) файлы.

Forensic Analysis of the Zone.Identifier Stream

Найти другие файлы

Forensic Analysis of the Zone.Identifier Stream

Запросы IDENTIFIER

Популярные устройства

Easily Process Zone. Identifier Streams in Your Investigation

As a forensic investigator, what is an easy way to examine the Zone.Identifier stream from downloaded files? Luckily, there is a simple solution when using NetAnalysis® as part of your forensic process. NetAnalysis® v3 adds support for importing data from this hidden Alternate Data Stream.

As NetAnalysis® searches through all files, it identifies supported types, and checks for the presence of NTFS Alternate Data Streams. Any files containing a Zone.Identifier ADS are processed and added to the grid for analysis with the Zone Identifier Entry Type.

The image below shows the entry we manually examined above imported into NetAnalysis®. The Information Panel shows the associated metadata, including file system information. All the other properties from the stream, which are not displayed in the Information panel, can be found in the corresponding columns in the NetAnalysis® grid.

NetAnalysis Zone Identifier Examination and Analysis
NetAnalysis® Displaying Zone Identifier Entries and Metadata

What is the Zone. Identifier Stream?

The Zone.Identifier feature was first introduced in Windows XP Service Pack 2 and Windows Server 2003 Service Pack 1. It was designed as a security feature and provided storage for URL Security Zone information. In essence, the feature allowed Windows to determine whether a file should be trusted or not. Internet Explorer would add a Zone.Identifier stream to all downloaded files and set an ID which indicated which Zone the file originated from (such as Zone 3, the Internet Zone). We will look at this further in a moment.

Appendix

  • https://technet.microsoft.com/en-us/sysinternals/streams.aspx – Streams – tools from SysInternals to view ADS
  • https://msdn.microsoft.com/en-us/library/ms537021%28v=VS.85%29.aspx – URL security zones
  • https://winitor.com/pdf/NtfsAlternateDataStreams.pdf – presentation about Windows Alternate Data Streams by Marc Ochsenmeier
  • https://www.bleepingcomputer.com/tutorials/windows-alternate-data-streams/ – Bleeping Computer on ADS

Оставьте комментарий