Forensic Analysis of the Zone.Identifier Stream

Image Description

StandardStart

Binary data in SYSTEMTIME format used to identify the date/time that Standard Time will commence in this time zone.

DaylightStart

Binary data in SYSTEMTIME structure used to identify the date/time that Daylight Saving will commence in this time zone.

Daylight Saving / Standard Time Start Dates

Looking at Figure 10 below, you can see two keys entitled DaylightStart and StandardStart.  They hold encoded data showing the exact commencement date/time of Daylight Saving and Standard Time.   To establish when daylight saving starts and ends, both keys will need to be decoded.

Registry_DaylightStart


H:\Downloads> more < test.exe:Zone.Identifier
[ZoneTransfer]
ZoneId=3

You can find them using dir /r on Windows Vista and later:

2009-10-24 12:18 54.538.056 test.exe 24 test.exe:Zone.Identifier:$DATA

Also in CMD you can easily get rid of that by overwriting it (using output redirection, this time):

echo.>myDownloadedFile.exe:Zone.Identifier

which isn’t quite the same as removing the ADS completely, but works in that Explorer doesn’t complain anymore.

There doesn’t seem to be native support for handling ADS from within PowerShell (as mentioned on The PowerShell Guy’s blog here. That article also has some information how to get that functionality in PowerShell). You could, however, simply call cmd:

cmd /c "echo.>test.exe:Zone.Identifier"

That works from PowerShell as well.

Another option would be Mark Russinovich’s streams utility which allows you to inspect a file’s ADS and also to delete them. So

streams -d myDownloadedFile.exe

does work as well.

Introduction to Time Zone Identification

In a digital forensic examination, establishing which Time Zone the system had been set to should one of the first examination tasks.  If this information is not established at an early stage and taken into account, the validity of Date/Time evidence may be brought into question.  Not only is this true for the examination of Browser History and related artefacts, it is also important when examining file system metadata.

I also believe this is something every examiner should be able to do manually, as opposed to relying on point and click or script forensics.  Whilst point and click certainly has a place and software tools can greatly increase the efficiency of the examination process, digital forensic practitioners need to possess the skills and ability to verify the results.

Some Date/Time values stored in binary files are affected by the Time Zone setting of the original suspect computer and many digital forensic applications can alter the representation of these dates by the Time Zone setting of the forensic workstation.

This becomes particularly complicated when the suspect computer was set to an incorrect Time Zone and the computer clock was set to correspond to the Local Time Zone.  Many of the Date/Time stamps store the data as UTC values.  In such circumstances, the Operating System (or application) has to convert the value from Local time to UTC.

In FAT file system – used by old versions of windows – file consisted of 2 elements: attributes and data.

In NTFS it i different – file consists of attributes, security settings, main stream and alternate streams. By default, only the main stream is visible.

Forensic Analysis of the Zone.Identifier Stream testfile.txt:hidden_stream” srcset=”https://hshrzd.files.wordpress.com/2016/03/ads.png?w=584 584w, https://hshrzd.files.wordpress.com/2016/03/ads.png?w=150 150w, https://hshrzd.files.wordpress.com/2016/03/ads.png?w=400 400w, https://hshrzd.files.wordpress.com/2016/03/ads.png 634w” sizes=”(max-width: 584px) 100vw, 584px”>

Let’s list the directory and see the newly created file (test.txt)

dir

As we can notice, the file length is displayed as 0 bytes. If we try to open this file by some text editor (i.e notepad) we can see that it is empty. Does it really have something inside? Let’s confirm:

<img aria-describedby="caption-attachment-1830" data-attachment-id="1830" data-permalink="https://hshrzd.wordpress.com/2016/03/19/introduction-to-ads-alternate-data-streams/ads_display-2/" data-orig-file="https://hshrzd.files.wordpress.com/2016/03/ads_display1.png" data-orig-size="372,35" data-comments-opened="1" data-image-meta="{"aperture":"0","credit":"","camera":"","caption":"","created_timestamp":"0","copyright":"","focal_length":"0","iso":"0","shutter_speed":"0","title":"","orientation":"0"}" data-image-title="ADS_display" data-image-description="" data-image-caption="" data-medium-file="https://hshrzd.files.wordpress.com/2016/03/ads_display1.png?w=372" data-large-file="https://hshrzd.files.wordpress.com/2016/03/ads_display1.png?w=372" src="https://hshrzd.files.wordpress.com/2016/03/ads_display1.png?w=584" alt="more

more < test.txt:hidden_stream

Now, finally, our text showed up.

So, how we will find out what are the alternate data streams available in particular files? There are several tools dedicated to reading and editing ADS, but if we don’t want to bother about it, we can just use a command dir, with an appropriate parameter:

dir_help

dir /R – display alternate data streams of the file

dir_r

Now we can see the same file, test.txt, listed twice: once with a size 0, and then again – with the size 35, with the ADS name added.

We can edit the file in a normal way, and the alternative stream will stay untouched. By the same way we can create several streams.

two_streams

What is an Alternate Data Stream?

As we know, files stored on an NTFS file system can have many different attribute types, these are the building blocks for the file. One of these attributes is $DATA, or simply called the data attribute. It is the part of the file where the actual data is stored. This data stream, sometimes referred to as the primary data stream, or more accurately the unnamed data stream, has no name associated with it. However, the NTFS file system supports multiple data streams, where the stream name identifies a new data attribute of a file. So how do we access these alternate streams?

Добавить комментарий

Заполните форму для добавления комментария

StandardName

The Operating System uses this name during daylight saving months to display the current time zone setting.

Summary

The Zone.Identifier stream, associated with a download, contains a rich store of properties that may be relevant to an investigation. NetAnalysis® provides an easy way to examine, and perform analysis on these streams. HstEx® allows an easy way to process an entire forensic image (or other source) recovering Zone.Identifier streams contained within live and deleted MFT entries. HstEx® can also recover this data even if the file has been deleted, the volume has been formatted, or the partition deleted.

Locate Available Alternate Data Streams

To locate the available alternate data streams available for a file, you can use the Get-Item cmdlet with the -Stream parameter.

Below you will see the output from the Get-Item cmdlet. It lists the stream available along with the length of the stream. The zap.sh file contains two data streams: $DATA and Zone:Identifier.

Get-Item * -Stream * PSChildName zap.icoZone.IdentifierPSDrive CPSProvider Microsoft.PowerShell.Core\FileSystemPSIsContainer FalseStream Zone.IdentifierLength PSChildName zap.sh::$DATAPSDrive CPSProvider Microsoft.PowerShell.Core\FileSystemPSIsContainer FalseStream $DATALength PSChildName zap.shZone.IdentifierPSDrive CPSProvider Microsoft.PowerShell.Core\FileSystemPSIsContainer FalseStream Zone.IdentifierLength 

Bias

This value is the normal Time difference from UTC in minutes. This value is the number of minutes that would need to be added to a local time to return it to a UTC value. This value will identify the Master Time Zone (Standard Time).

Read Alternate Data Streams

To read an alternate data stream, you can use the Get-Content cmdlet.

The below example reads an alternate data stream for the zap.sh file.

Zone. Identifier Properties

  • AppZoneId
  • HostIpAddress
  • HostUrl
  • LastWriterPackageFamilyName
  • ReferrerUrl
  • ZoneId

Unblock-File


Case Example

This was demonstrated in a case I was asked to review a number of years ago.  A computer had been seized as part of an investigation into abusive images of children.  The police had examined the computer correctly and the individual involved had been charged with offences under the Protection of Children Act 1978.

A defence expert examined the forensic image from the computer had declared in his report that the police had tampered with the evidence and alleged that they were responsible for the illegal material as the Date/Time stamps show the material was created on the disk some four hours after it had been seized by police.

My initial examination revealed that the defence expert had not established the Time Zone settings for the system nor had he taken them into account during his examination and subsequent report.  If he had, he would have seen that the system was incorrectly set to Pacific Time and not GMT.  As far as the Operating System was concerned, the system was in Pacific Time and added 8 hours to the Local times to convert them to UTC.  This resulted in the Date/Time stamps being 8 hours in advance of the correct time.

When the defence expert stated the computer had illegal material written to the disk after the system was seized, it was in fact that this had happened some 4 hours prior to the warrant being executed at the home of the suspect.

Recovering Zone. Identifier Data from a Forensic Image

So how do you deal with a situation where the files might have been deleted? What if the suspect has formatted their disk or deleted the partition? This is where HstEx® becomes very useful. Specifically designed to work in conjunction with NetAnalysis® (and is provided as part of the suite), this powerful software can recover deleted data from a variety of sources and can work with unstructured data; this means it can reassemble information from raw data when no filesystem metadata is available.

In NTFS, the $MFT or Master File Table keeps track of every file on the volume. In the case of the ADS holding the Zone Identifier information, this is likely to be resident as it can be quite small in size. When the value can be accessed directly from within the attribute, it is called “resident data”. This data is small enough to be stored within the MFT entry, rather than out in the file system.

With the release of HstEx® v5.1, we have added the ability to search and recover MFT entries containing resident Zone Identifier data. This provides us with a lot of information regarding the original file. The recovered data is easily read into NetAnalysis® for examination. The image below shows a number of recovered Zone Identifier entries. The Information panel shows the associated MFT attribute information along with the Zone Transfer data from the Zone.Identifier stream.

Forensic Analysis of the Zone.Identifier Stream
NetAnalysis® showing recovered Resident MFT entries containing Zone.Identifier streams

Further Reading

Cheatsheet

Creating ADS from commandline:

‫‪echo This is a hidden message > testfile.txt:hidden_stream

Displaying files with their alternative data streams:

dir /r

Displaying stream of a file:

more < testfile.txt:hidden_stream::$DATA

Zone. Identifier

One of the legitimate usages of alternate data streams is Zone.Identifier. It is a feature used to identify the file origin. In case if the file comes from some untrusted source, i.e. have been downloaded from the internet, Windows displays a security warning before it can be run.

:/>  Виджеты на Рабочий стол Windows 10, гаджет часы

There are several variants of Zone.Identifier value:

0 My Computer
1 Local Intranet Zone
2 Trusted sites Zone
3 Internet Zone
4 Restricted Sites Zone

file.exe:Zone.Identifier

Sample content of Zone.Identifier of the file downloaded from the internet:

[ZoneTransfer]
ZoneId=3

Calculating Signed Integer Bias Values

Within digital systems, all data, whether they be numbers or characters are represented by strings of binary digits. A problem arises when you want to store negative numbers.

Over the years, hardware designers have developed three different schemes for representing negative numbers: sign and magnitude, ones complement, and twos complement. The most common method for storing negative numbers is twos complement. With this method, the Most Significant Bit (MSB) is used to store the sign.

If the MSB is set, then this represents a NEGATIVE number. This method affords natural arithmetic with no special rules. To represent a negative number in twos complement notation the process is simple:

• Decide upon the number of bits (n)
• Find the binary representation of the +ve value in n-bits
• Flip all the bits (change 1 to 0 and vice versa)
• Add 1

Figure 5 below shows the binary representation of the positive number 5.

Positive_Binary_Number

Negative_Binary_Number

This method makes it extremely easy to add positive and negative numbers together.  For example:

Binary_Addition

It also makes it extremely easy to convert between positive and negative numbers:

Converting_Binary_Numbers

Daily PowerShell #29

November 14, 2021

quote Discuss this Article

When you download a file in Windows an alternate data stream call the Zone.Identifier is included within the file but not within the content of the file. This allows Windows to provide additional information about a file without modifying its content.

ActiveTimeBias

This value is the current time difference from UTC in minutes, regardless of whether daylight saving is in effect or not. It is this value that helps establish the current Time Zone settings. Using the formula above, take this value and add it to local time to get the UTC value.

Accessing an Alternate Data Stream

Get-Item -path D:\Downloads\1-6b4b9.zip -stream *
Windows Powershell Get-Item List Alternate Data Streams
List All Available Streams and Associated Properties
Get-Item -path D:\Downloads\1-6b4b9.zip -stream * | Select-Object -Property Filename, Stream, Length
WIndows Power Shell Stream List
Formatted List of All Available Streams

If we look at the output, we can see two streams, the unnamed data stream and a stream with the name Zone.Identifier. So what is this hidden alternate stream? How did it get attached to this file and what does it contain?

SYSTEMTIME Structure

This data is stored in a common structure called SYTEMTIME. This structure specifies a date and time, using individual members for the month, day, year, weekday, hour, minute, second, and millisecond.

SYSTEMTIME_STRUCTURE

Daylight_Start

Bytes 0 & 1 (0x0000 ) refer to the year from a 1900 time base.  This is only required if the change is year specific and will normally be zero.

Bytes 2 & 3 (0x0003 ) refer to the month, in this case March.

Bytes 4 & 5 (0x0005) refer to the week (starts at 1 and 5 means last).  In this case the last week.

Bytes 6 & 7 (0x0001) refer to the Hour.  In this case it is 0100 Hours.

Bytes 8 & 9 (0x0000) refer to the Minutes.  In this case it is Zero minutes.

Bytes 10 & 11 (0x0000) refer to the Seconds; in this case it is Zero seconds.

Bytes 12 & 13 (0x0000) refer to the Milliseconds, in this case it is Zero milliseconds.

Bytes 14 & 15 (0x0000) refer to the actual Day of the Week (Sunday = 0).  In this case it is Sunday

For our example in Figure 12, Daylight Saving Time (DST) will start on Sunday of the Last Week in March at 0100 Hours.  If we had decoded StandardStart, we would see that DST would end on Sunday of the last week of October at 0200 hours.

ZoneId Property

The ZoneId property identifies the URL Security Zone and flags the download according to its respective level of trust. The code below shows the URLZONE enum and the corresponding values:

typedef enum tagURLZONE { URLZONE_INVALID = -1, URLZONE_PREDEFINED_MIN = 0, URLZONE_LOCAL_MACHINE = 0, URLZONE_INTRANET, URLZONE_TRUSTED, URLZONE_INTERNET, URLZONE_UNTRUSTED, URLZONE_PREDEFINED_MAX = 999, URLZONE_USER_MIN = 1000, URLZONE_USER_MAX = 10000
} URLZONE;

So what exactly do these values mean? According to Microsoft, they contain all the predefined zones used by Windows Internet Explorer:

  • URLZONE_INVALID – This is an invalid zone that is used only if no appropriate zone is available.
  • URLZONE_LOCAL_MACHINE – This zone is used for content already on the user’s local computer.
  • URLZONE_INTRANET – This zone is used for content found on an intranet.
  • URLZONE_TRUSTED – This zone is used for trusted Web sites on the Internet.
  • URLZONE_INTERNET – This zone if for content from the Internet, except for Web sites listed in the trusted or restricted zones.
  • URLZONE_UNTRUSTED – This zone is used for Web sites that are not trusted.
Windows Internet Properties » Security Window » URL Security Zone
Internet Properties Security Tab Showing URL Security Zones

File in file using ADS

We can also hide another file on the alternate data stream. On the below example – we create a new txt file on another. We can then edit it with typical tools:

hidden_channel

alternate

Yet, opening the file by default way, we can only see it’s main stream:

default

We can also paste an existing file on an alternate data stream, by using a command type

Let’s take as an example a demo.dll – it is a 32bit Portable Executable, exporting one function: Test1. We will place it in the alternate stream of test.txt

Forensic Analysis of the Zone.Identifier Stream test.txt:demo” srcset=”https://hshrzd.files.wordpress.com/2016/03/hiding_demo.png 378w, https://hshrzd.files.wordpress.com/2016/03/hiding_demo.png?w=150 150w” sizes=”(max-width: 378px) 100vw, 378px”>

type demo.dll > test.txt:demo

Maybe the alternate stream it is hard to notice – but running it is still very easy:

running_demo

Example 3
Exactly the same can be done with (malicious) macros:

type‬‬ ‫‪malware.vbs‬‬ > ‫‪readme.txt:malware.vbs‬‬
‫‪Wscript‬‬ ‫‪‫‪readme.txt:malware.vbs‬‬

Усложнения в IDENTIFIER-файле

Forensic Analysis of the Zone.Identifier Stream

Проблемные проблемы с открытием IDENTIFIER-файлов

Microsoft Windows не установлен

Вы пытаетесь загрузить IDENTIFIER-файл и получить сообщение об ошибке, например «%%os%% не удается открыть расширение файла IDENTIFIER». Если это так, это обычно связано с тем, что у вас нет Microsoft Windows для %%os%%, установленного на вашем компьютере. Типичный путь открытия документа IDENTIFIER двойным щелчком не будет работать, так как %%os%% не может установить подключение к программе.

Forensic Analysis of the Zone.Identifier Stream

Совет. Когда установлено другое приложение IDENTIFIER, вы можете открыть его, выбрав «Показать приложения» и используя эту программу.

Неверная версия Microsoft Windows

Файл Windows Zone Identifier File несовместим с Microsoft Windows, поскольку возможно, установлена неправильная версия. Загрузите последнюю версию Microsoft Windows с веб-сайта Microsoft Corporation, чтобы убедиться, что у вас установлена правильная версия. Эта проблема в основном связана с наличием версии файла Windows Zone Identifier File, которая была создана более новой версией Microsoft Windows, чем то, что вы установили на вашем компьютере.

Forensic Analysis of the Zone.Identifier Stream

Совет: Иногда вы можете получить подсказку о версии IDENTIFIER-файла, который у вас есть, щелкнув правой кнопкой мыши на файле, а затем нажав на «Свойства» (Windows) или «Получить информацию» (Mac OSX).

Сводка. Наличие правильной версии Microsoft Windows на компьютере может вызвать проблемы с открытием IDENTIFIER-файлов.

Forensic Analysis of the Zone.Identifier Stream

Другие причины проблем при открытии IDENTIFIER-файлов

Хотя на вашем компьютере уже может быть установлено Microsoft Windows или другое программное обеспечение, связанное с IDENTIFIER, вы по-прежнему можете столкнуться с проблемами при открытии файлов Windows Zone Identifier File. Могут возникнуть и другие проблемы – не связанные с программным обеспечением – мешающие вам открывать IDENTIFIER-файлы. К числу дополнительных факторов относятся:

  • Неверные пути к IDENTIFIER-файлам реестра Windows
  • Ошибочное удаление описания реестра Windows IDENTIFIER
  • Недопустимая установка программы, связанной с IDENTIFIER (например, Microsoft Windows)
  • Повреждение файла, влияющее на IDENTIFIER-файл
  • Заражение IDENTIFIER вредоносным ПО
  • Оборудование, связанное с IDENTIFIER, имеет устаревшие драйверы устройств
  • Недостаточно системных ресурсов для успешного открытия файлов Windows Zone Identifier File

Опрос: Какой тип файла вы используете чаще всего на работе / в школе?

Forensic Analysis of the Zone.Identifier Stream

Forensic Analysis of the Zone.Identifier Stream

Establishing the Current Time Zone

To establish the Time Zone setting for a Microsoft Windows system, the forensic examiner can examine the SYSTEM registry hive.  To do this, you need to establish which ControlSet was active when the computer was seized.

Time_Zone_Registry_Key

There you will find 4 keys detailing the Current, Default, Failed and LastKnownGood control sets.  The current control set in the screen below is set to 3.  You can also see the there are three ControlSets numbered 001 to 003.

Registry_Current_Control_Set

Now that this current control set has been identified, we can navigate to that location in the registry and calculate the different values as stored.  In this case, the Time Zone settings are stored here:

ControlSet003

The Time Zone Information for this Control Set is shown in Figure 4.

TimeZoneInformation_Registry

TimeZone_Formula

Расширение файла IDENTIFIER

Microsoft Silver

ActiveTimeBias

If we look once again at the ActiveTimeBias in Figure 9, you will see a signed hexadecimal value.  This can be calculated using twos complement.

Singed_Value

This value is stored in hexadecimal as a 32 bit value, so to work out the value it will need to be converted to binary.  Ignore the fact that on this occasion, the registry editor is showing the decimal value (4294967236) next to it; this is purely because the registry editor does not realise the value has been stored as a signed integer.

Singed_Integer

Convert this to binary:

Calc2

The MSB is set so we know that the above value will be negative.  The next stage is to flip all the bits.  This involves changing 1 to 0 and vice versa.  This can be achieved quickly using the logical NOT function on a scientific calculator.  You must ensure that it is set to deal with the correct number of bits.

Calc3

Add 1 bit to the value above

Calc4

And then convert that value back to decimal, remembering that we are dealing with a negative number:

Calc5

TimeZone_Note

DisableAutoDaylightTimeSet

This will only be visible if the setting to automatically adjust clock for daylight saving has been switched OFF.

Устранение неполадок при открытии файлов ZONE. IDENTIFIER

Forensic Analysis of the Zone.Identifier Stream

Проблемные проблемы с открытием ZONE.IDENTIFIER-файлов

Отсутствует Microsoft Windows

При двойном щелчке ZONE.IDENTIFIER-файла появится сообщение «%%os%% не удается открыть ZONE.IDENTIFIER-файл». Обычно это связано с тем, что у вас нет Microsoft Windows для %%os%% установлен. Типичный путь открытия документа ZONE.IDENTIFIER двойным щелчком не будет работать, так как %%os%% не может установить подключение к программе.

Forensic Analysis of the Zone.Identifier Stream

Наконечник: Если у вас не установлен Microsoft Windows, и вы знаете другую программу, чтобы открыть файл ZONE.IDENTIFIER, вы можете попробовать открыть его, выбрав из программ, перечисленных в разделе «Показать приложения».

:/>  Почему в icloud нет фото

Неверная версия Microsoft Windows

В некоторых случаях может быть более новая (или более старая) версия файла Microsoft Windows Zone Identifier File, которая не поддерживается установленной версией приложения. Вам нужно будет загрузить более новую версию Microsoft Windows, если у вас нет правильной версии. Ваш файл электронной таблицы, вероятно, был создан более новой версией Microsoft Windows, чем то, что в данный момент установлен на вашем компьютере.

Forensic Analysis of the Zone.Identifier Stream

Совет . Исследуйте ZONE.IDENTIFIER-файл, щелкнув правой кнопкой мыши и выбрав «Свойства», чтобы найти подсказки о том, какая версия вам нужна.

Резюме: В любом случае, большинство проблем, возникающих во время открытия файлов ZONE.IDENTIFIER, связаны с отсутствием на вашем компьютере установленного правильного прикладного программного средства.

Forensic Analysis of the Zone.Identifier Stream

Другие причины проблем при открытии ZONE.IDENTIFIER-файлов

Ошибки при открытии файлов Microsoft Windows Zone Identifier File могут возникать даже с последней версией программного обеспечения Microsoft Windows, установленной на вашем компьютере. Могут возникнуть и другие проблемы – не связанные с программным обеспечением – мешающие вам открывать ZONE.IDENTIFIER-файлы. Проблемы, которые не связаны с программным обеспечением:

  • Ссылки на файлы в реестре Windows для ZONE.IDENTIFIER неверны
  • Ошибочное удаление описания реестра Windows ZONE.IDENTIFIER
  • Microsoft Windows или другое приложение ZONE.IDENTIFIER испытали ошибочную установку
  • Повреждение файла, влияющее на ZONE.IDENTIFIER-файл
  • На ваш документ ZONE.IDENTIFIER негативно повлияли вредоносные программы
  • Драйверы устройств для оборудования, связанного с ZONE.IDENTIFIER, устарели
  • Windows не может загрузить файл электронной Microsoft Windows Zone Identifier File из-за нехватки ресурсов (например, БАРАН)

What is Stored in the Zone. Identifier?

So how can we examine the data contained in the Zone.Identifier stream? One option is to run Powershell and execute the Get-Content command as shown below:

Get-Content -path D:\Downloads\1-6b4b9.zip -stream Zone.Identifier
Windows Powershell Get-Content Zone Identifier
Windows Powershell Get-Content Command

Internet Explorer is not the only web browser to have this functionality. Zone.Identifier streams are written to downloaded files by other browsers such as Microsoft Edge, Edge Legacy, Google Chrome, Mozilla Firefox, Opera and many other Mozilla and Chromium based browsers. Other applications may also implement the functionality.

Отчет о диагностике удаленного доступа


Содержание

Журналы трассировки и событий

  • Трассировка журналов

    • Журналы модема
    • Журналы диспетчера подключений
    • Журнал безопасности IP
  • Журналы событий удаленного доступа
  • Журналы событий безопасности

Сведения об установке

  • Информационные файлы
  • Проверка установки
  • Установленные сетевые компоненты
  • Проверка реестра

Сведения о конфигурации

Трассировка журналов [ Содержание ]

Не удается отобразить журналы трассировки удаленного доступа, или нет файлов журнала, которые требуется отобразить.

Журналы модема [ Содержание ]

 Не удается отобразить журналы трассировки модема, или нет файлов журналов. 

Журналы диспетчера подключений [ Содержание ]

 Не удается отобразить журналы диспетчера подключений, или нет файлов журналов. 

Журнал безопасности IP [ Содержание ]

 Не удается отобразить журналы трассировки IPsec, или нет файлов журналов. 

Журналы событий удаленного доступа [ Содержание ]

Тип события: Информация
Источник события: Microsoft-Windows-UserPnp
Категория события: Нет
Код события: 20003
Дата: 20.05.2021
Время: 17:24:57
Пользователь: NT AUTHORITY\СИСТЕМА
Компьютер: HITECHNOMERCY
Описание:
Не получить значения разделов реестра. igfxCUIService2.0.0.0
Тип события: Информация
Источник события: Microsoft-Windows-UserPnp
Категория события: Нет
Код события: 20003
Дата: 20.05.2021
Время: 17:24:57
Пользователь: NT AUTHORITY\СИСТЕМА
Компьютер: HITECHNOMERCY
Описание:
Не получить значения разделов реестра. cphs
Тип события: Информация
Источник события: Microsoft-Windows-UserPnp
Категория события: Нет
Код события: 20003
Дата: 20.05.2021
Время: 17:24:57
Пользователь: NT AUTHORITY\СИСТЕМА
Компьютер: HITECHNOMERCY
Описание:
Не получить значения разделов реестра. igfx
Тип события: Информация
Источник события: Microsoft-Windows-UserPnp
Категория события: Нет
Код события: 20003
Дата: 19.05.2021
Время: 6:00:23
Пользователь: NT AUTHORITY\СИСТЕМА
Компьютер: HITECHNOMERCY
Описание:
Не получить значения разделов реестра. NVDisplay.ContainerLocalSystem
Тип события: Информация
Источник события: Microsoft-Windows-UserPnp
Категория события: Нет
Код события: 20003
Дата: 19.05.2021
Время: 6:00:22
Пользователь: NT AUTHORITY\СИСТЕМА
Компьютер: HITECHNOMERCY
Описание:
Не получить значения разделов реестра. nvlddmkm
Тип события: Информация
Источник события: Microsoft-Windows-UserPnp
Категория события: Нет
Код события: 20003
Дата: 19.05.2021
Время: 3:25:31
Пользователь: NT AUTHORITY\СИСТЕМА
Компьютер: HITECHNOMERCY
Описание:
Не получить значения разделов реестра. Parport
Тип события: Информация
Источник события: Microsoft-Windows-UserPnp
Категория события: Нет
Код события: 20003
Дата: 19.05.2021
Время: 3:25:30
Пользователь: NT AUTHORITY\СИСТЕМА
Компьютер: HITECHNOMERCY
Описание:
Не получить значения разделов реестра. Serenum
Тип события: Информация
Источник события: Microsoft-Windows-UserPnp
Категория события: Нет
Код события: 20003
Дата: 19.05.2021
Время: 3:25:30
Пользователь: NT AUTHORITY\СИСТЕМА
Компьютер: HITECHNOMERCY
Описание:
Не получить значения разделов реестра. Serial
Тип события: Информация
Источник события: Microsoft-Windows-UserPnp
Категория события: Нет
Код события: 20003
Дата: 19.05.2021
Время: 3:19:49
Пользователь: NT AUTHORITY\СИСТЕМА
Компьютер: HITECHNOMERCY
Описание:
Не получить значения разделов реестра. Serenum
Тип события: Информация
Источник события: Microsoft-Windows-UserPnp
Категория события: Нет
Код события: 20003
Дата: 19.05.2021
Время: 3:19:49
Пользователь: NT AUTHORITY\СИСТЕМА
Компьютер: HITECHNOMERCY
Описание:
Не получить значения разделов реестра. Serial 

Журналы событий безопасности [ Содержание ]

 Не удается отобразить журналы событий безопасности, или нет записей журналов. 

Информационные файлы [ Содержание ]

Имя файла : C:\WINDOWS\inf\netrasa.inf
Последнее время записи : 12/07/2019 12:07
Время создания : 12/07/2019 12:07
Размер файла : 24424 байт
Имя файла : C:\WINDOWS\inf\netrass.inf
Последнее время записи : 12/07/2019 12:07
Время создания : 12/07/2019 12:07
Размер файла : 5292 байт
Имя файла : C:\WINDOWS\inf\netrast.inf
Последнее время записи : 12/07/2019 12:07
Время создания : 12/07/2019 12:07
Размер файла : 8186 байт 

Проверка установки [ Содержание ]

sw\{eeab7790-c514-11d1-b42b-00805fc1270e} = Не найдено.
ms_irdaminiport = Не найдено.
ms_irmodemminiport = Не найдено.
ms_l2tpminiport = ОК.
ms_sstpminiport = ОК.
ms_pptpminiport = ОК.
ms_ptiminiport = Не найдено.
ms_pppoeminiport = ОК.
ms_ndiswanatalk = Не найдено.
ms_ndiswanbh = ОК.
ms_ndiswanip = ОК.
ms_ndiswanipx = Не найдено.
ms_pppoe = ОК.
ms_pptp = Не найдено.
ms_l2tp = Не найдено.
ms_sstp = Не найдено.
ms_rascli = Не найдено.
ms_rassrv = Не найдено.
ms_steelhead = Не найдено.
ms_ndiswan = ОК.
ms_rasman = Не найдено.

Установленные сетевые компоненты [ Содержание ]

Сетевые адаптеры
----------------
ms_ndiswanip WAN Miniport (IP)
ms_agilevpnminiport WAN Miniport (IKEv2)
ms_pppoeminiport WAN Miniport (PPPOE)
ms_l2tpminiport WAN Miniport (L2TP)
ms_sstpminiport WAN Miniport (SSTP)
pci\ven_10ec&dev_8168&subsys_85051043&rev_09 Realtek PCIe GBE Family Controller
ms_ndiswanipv6 WAN Miniport (IPv6)
ms_pptpminiport WAN Miniport (PPTP)
ms_ndiswanbh WAN Miniport (Network Monitor)
root\kdnic Microsoft Kernel Debug Network Adapter
Сетевые протоколы
----------------
ms_rdma_ndk Microsoft RDMA — NDK
ms_tcpip IP версии 4 (TCP/IPv4)
ms_netbt WINS Client(TCP/IP) Protocol
ms_implat Протокол мультиплексора сетевого адаптера (Майкрософт)
ms_ndiswanlegacy Устаревшая версия NDIS-драйвера глобальной сети для удаленного доступа
ms_lldp Драйвер протокола LLDP (Майкрософт)
ms_wanarp Драйвер IP ARP для удаленного доступа
ms_tcpip_tunnel Протокол IP (TCP/IP) — туннели
ms_tcpip6_tunnel Microsoft TCP/IP версии 6 — туннели
ms_tcpip6 IP версии 6 (TCP/IPv6)
ms_rspndr Отвечающее устройство обнаружения топологии канального уровня
ms_pppoe Протокол PPPoE
ms_wanarpv6 Драйвер IPv6 ARP для удаленного доступа
ms_netbt_smb Message-oriented TCP/IP Protocol (SMB session)
ms_ndisuio NDIS-протокол ввода-вывода пользовательского режима
ms_ndiswan NDIS-драйвер глобальной сети для удаленного доступа
ms_lltdio Ответчик обнаружения топологии канального уровня
netvsc_vfpp Microsoft NetVsc Failover VF Protocol
ms_xboxgip Xbox Game Input Protocol Driver
Сетевые службы
----------------
ms_netbios NetBIOS Interface
ms_server Общий доступ к файлам и принтерам для сетей Microsoft
ms_bridge MAC-мост (Майкрософт)
ms_wfplwf_lower Упрощенный фильтр основного MAC-уровня платформы фильтрации Windows
ms_ndiscap Захват Microsoft NDIS
ms_vwifi @%windir%\System32\drivers\vwififlt.sys,-105
ms_pacer Планировщик пакетов QoS
ms_wfplwf_upper Упрощенный фильтр MAC-уровня 802.3 платформы фильтрации Windows
ms_nativewifip Фильтр NativeWiFi
ms_wfplwf_vswitch Платформа фильтрации Microsoft Windows
Сетевые клиенты
----------------
ms_msclient Клиент для сетей Microsoft

Проверка реестра [ Содержание ]

Установленные устройства [ Содержание ]

01 WAN Miniport (PPPOE) pppoe
02 WAN Miniport (PPTP) vpn
03 WAN Miniport (PPTP) vpn
04 WAN Miniport (L2TP) vpn
05 WAN Miniport (L2TP) vpn
06 WAN Miniport (IKEv2) vpn
07 WAN Miniport (IKEv2) vpn
08 WAN Miniport (SSTP) vpn
09 WAN Miniport (SSTP) vpn 

Сведения о процессе [ Содержание ]

 0 System Process 4 System 108 Registry 488 smss.exe 672 csrss.exe 940 wininit.exe 948 csrss.exe Title:
1020 services.exe 376 lsass.exe Svcs: EFS,KeyIso,SamSs,VaultSvc 696 winlogon.exe 840 svchost.exe Svcs: DcomLaunch,PlugPlay,Power,SystemEventsBroker 900 fontdrvhost.exe 676 fontdrvhost.exe 988 WUDFHost.exe
1100 svchost.exe Svcs: RpcEptMapper,RpcSs
1148 svchost.exe Svcs: LSM
1216 dwm.exe Title: DWM Notification Window
1356 svchost.exe Svcs: NcbService
1364 svchost.exe Svcs: TimeBrokerSvc
1396 svchost.exe Svcs: Schedule
1456 svchost.exe Svcs: hidserv
1476 svchost.exe Svcs: ProfSvc
1508 svchost.exe Svcs: CoreMessagingRegistrar
1568 svchost.exe Svcs: EventLog
1628 svchost.exe Svcs: UserManager
1780 svchost.exe Svcs: nsi
1796 svchost.exe Svcs: SEMgrSvc
1836 svchost.exe Svcs: Dhcp
1968 svchost.exe Svcs: NlaSvc
2020 svchost.exe Svcs: DispBrokerDesktopSvc
1492 wsc_proxy.exe
1672 svchost.exe Svcs: EventSystem
1656 svchost.exe Svcs: SysMain
1820 svchost.exe Svcs: Themes
2092 svchost.exe Svcs: netprofm
2156 Memory Compression
2196 svchost.exe Svcs: SENS
2404 svchost.exe Svcs: Winmgmt
2484 svchost.exe
2492 svchost.exe Svcs: FontCache
2784 svchost.exe Svcs: Dnscache
2936 svchost.exe
2964 svchost.exe Svcs: RmSvc
2004 svchost.exe Svcs: DusmSvc
1960 svchost.exe Svcs: Wcmsvc
2388 svchost.exe Svcs: ShellHWDetection
3132 AvastSvc.exe
3244 svchost.exe Svcs: StateRepository
3424 aswToolsSvc.exe
3728 spoolsv.exe Svcs: Spooler
3764 svchost.exe Svcs: mpssvc
4052 aswEngSrv.exe
4272 afwServ.exe
4388 svchost.exe Svcs: wscsvc
4460 svchost.exe Svcs: IKEEXT
4468 svchost.exe Svcs: iphlpsvc
4480 svchost.exe Svcs: CryptSvc
4488 svchost.exe Svcs: DPS
4640 svchost.exe Svcs: LanmanServer
4672 svchost.exe Svcs: SstpSvc
4720 svchost.exe Svcs: TrkWks
4736 svchost.exe Svcs: WpnService
4832 svchost.exe Svcs: TapiSrv
4892 svchost.exe Svcs: WdiServiceHost
5364 svchost.exe Svcs: RasMan
5928 svchost.exe Svcs: PolicyAgent
4444 sihost.exe Title:
4448 svchost.exe Svcs: CDPUserSvc_83669
6732 svchost.exe Svcs: WpnUserService_83669
3652 taskhostw.exe Title: Task Host Window
3948 svchost.exe Svcs: TokenBroker
2872 svchost.exe Svcs: TabletInputService
7240 ctfmon.exe Title:
7384 svchost.exe
7480 explorer.exe Title: Program Manager
8112 svchost.exe Svcs: lfsvc
7776 SearchIndexer.exeSvcs: WSearch
9376 SecurityHealthService.exeSvcs: SecurityHealthService
9544 AvastUI.exe Title: CAvastTrayIcon
1984 svchost.exe Svcs: DoSvc
9472 svchost.exe Svcs: StorSvc
5812 SgrmBroker.exe Svcs: SgrmBroker
2264 svchost.exe Svcs: UsoSvc
6276 svchost.exe Svcs: OneSyncSvc_83669,PimIndexMaintenanceSvc_83669,UnistoreSvc_83669,UserDataSvc_83669
7748 svchost.exe Svcs: cbdhsvc_83669
9312 AvastUI.exe
4976 AvastUI.exe
6644 svchost.exe
9932 svchost.exe Svcs: PcaSvc
6292 AvastUI.exe
10428 svchost.exe Svcs: LicenseManager
3820 svchost.exe
8980 svchost.exe Svcs: WinHttpAutoProxySvc
11576 svchost.exe
9600 svchost.exe Svcs: SDRSVC
11164 svchost.exe Svcs: SSDPSRV
12280 svchost.exe Svcs: DsSvc
11884 svchost.exe Svcs: NetSetupSvc
10188 svchost.exe Svcs: Netman
13232 WmiPrvSE.exe
4964 audiodg.exe
12348 SearchProtocolHost.exe
11080 svchost.exe
6204 svchost.exe
8204 svchost.exe Svcs: WdiSystemHost
8564 svchost.exe Svcs: BcastDVRUserService_83669
9456 explorer.exe Title: Панель управления\Все элементы панели управления\Сетевые подключения
11236 notepad.exe Title: hijackthis.log – Блокнот
6268 SearchFilterHost.exe
5484 WmiPrvSE.exe
6840 svchost.exe 860 StartMenuExperienceHost.exeTitle: Начальный экран
8168 RuntimeBroker.exe
10920 SearchApp.exe Title: Поиск
8732 RuntimeBroker.exe
4284 game.exe Title: HijackThis Beta
11100 NVDisplay.Container.exeSvcs: NVDisplay.ContainerLocalSystem
6576 nvcontainer.exe Svcs: NvContainerLocalSystem
7536 NVDisplay.Container.exeTitle: NvSvc
11380 rundll32.exe Title: RxDiag Message Pump 2021 NVIDIA Corporation Mar 3 2021 20:47:05
13056 WmiPrvSE.exe
8952 nvcontainer.exe Title: BroadcastListenerWindow
12832 vds.exe Svcs: vds
11608 ShellExperienceHost.exeTitle: Хост Windows Shell Experience
12100 RuntimeBroker.exeTitle: OLEChannelWnd
10900 dllhost.exe Title: OleMainThreadWndName

Служебные программы командной строки [ Содержание ]

arp.exe -a [ Содержание ]

ЌҐ ­ ©¤Ґ­л § ЇЁбЁ ў в Ў«ЁжҐ ARP.

ipconfig.exe /all [ Содержание ]

Ќ бва®©Є  Їа®в®Є®«  IP ¤«п Windows €¬п Є®¬ЇмовҐа  . . . . . . . . . : HITECHNOMERCY Ћб­®ў­®© DNS-бгддЁЄб . . . . . . : ’ЁЇ г§« . . . . . . . . . . . . . : ѓЁЎаЁ¤­л© IP-¬ аиагвЁ§ жЁп ўЄ«о祭  . . . . : ЌҐв WINS-Їа®ЄбЁ ўЄ«о祭 . . . . . . . : ЌҐв

ipconfig.exe /displaydns [ Содержание ]

Ќ бва®©Є  Їа®в®Є®«  IP ¤«п Windows

route.exe print [ Содержание ]

===========================================================================
‘ЇЁб®Є Ё­вҐа䥩ᮢ 1...........................Software Loopback Interface 1
===========================================================================
IPv4 в Ў«Ёж  ¬ аиагв 
===========================================================================
ЂЄвЁў­лҐ ¬ аиагвл:
‘ҐвҐў®©  ¤аҐб Њ бЄ  бҐвЁ Ђ¤аҐб и«о§  €­вҐадҐ©б ЊҐваЁЄ  127.0.0.0 255.0.0.0 On-link 127.0.0.1 331 127.0.0.1 255.255.255.255 On-link 127.0.0.1 331 127.255.255.255 255.255.255.255 On-link 127.0.0.1 331 224.0.0.0 240.0.0.0 On-link 127.0.0.1 331 255.255.255.255 255.255.255.255 On-link 127.0.0.1 331
===========================================================================
Џ®бв®п­­лҐ ¬ аиагвл: ЋвбгвбвўгҐв
IPv6 в Ў«Ёж  ¬ аиагв 
===========================================================================
ЂЄвЁў­лҐ ¬ аиагвл: ЊҐваЁЄ  ‘ҐвҐў®©  ¤аҐб «о§ 1 331 ::1/128 On-link 1 331 ff00::/8 On-link
===========================================================================
Џ®бв®п­­лҐ ¬ аиагвл: ЋвбгвбвўгҐв

net.exe start [ Содержание ]

‡ Їг饭л б«Ґ¤гойЁҐ б«г¦Ўл Windows: Avast Antivirus Avast Firewall Service Avast Tools AvastWscReporter CoreMessaging DHCP-Є«ЁҐ­в DNS-Є«ЁҐ­в NVIDIA Display Container LS NVIDIA LocalSystem Container Plug and Play SysMain Windows Audio Windows Search ЂЈҐ­в Ї®«ЁвЁЄЁ IPsec Ѓа ­¤¬ гна ‡ йЁв­ЁЄ  Windows Ѓа®ЄҐа ўаҐ¬Ґ­Ё Ѓа®ЄҐа ¬®­Ёв®аЁ­Ј  баҐ¤л ўлЇ®«­Ґ­Ёп System Guard Ѓа®ЄҐа бЁб⥬­ле б®ЎлвЁ© ‚Ёавг «м­л© ¤ЁбЄ ‚бЇ®¬®Ј вҐ«м­ п б«г¦Ў  IP „ЁбЇҐвзҐа «®Є «м­ле ᥠ­б®ў „ЁбЇҐвзҐа ЇҐз вЁ „ЁбЇҐвзҐа Ї« вҐ¦Ґ© Ё NFC/§ йЁйҐ­­ле н«Ґ¬Ґ­в®ў „ЁбЇҐвзҐа Ї®¤Є«о祭Ё© Windows „ЁбЇҐвзҐа Ї®¤Є«о祭Ё© г¤ «Ґ­­®Ј® ¤®бвгЇ  „ЁбЇҐвзҐа Ї®«м§®ў вҐ«Ґ© „ЁбЇҐвзҐа гзҐв­ле ўҐЎ-§ ЇЁбҐ© „ЁбЇҐвзҐа гзҐв­ле ¤ ­­ле „ЁбЇҐвзҐа гзҐв­ле § ЇЁбҐ© ЎҐ§®Ї б­®бвЁ „®бвгЇ Є HID-гбва®©бвў ¬ †га­ « б®ЎлвЁ© Windows €§®«пжЁп Є«о祩 CNG €­бва㬥­в аЁ© гЇа ў«Ґ­Ёп Windows €бЇ®«м§®ў ­ЁҐ ¤ ­­ле Љ«ЁҐ­в ®вб«Ґ¦Ёў ­Ёп Ё§¬Ґ­ЁўиЁебп бўп§Ґ© Њ®¤г«Ё Є«о祩 IPsec ¤«п ®Ў¬Ґ­  Є«оз ¬Ё ў €­вҐа­ҐвҐ Ё Їа®в®Є®«  IP б Їа®ўҐаЄ®© Ї®¤«Ё­­®бвЁ Њ®¤г«м § ЇгбЄ  Їа®жҐбб®ў DCOM-бҐаўҐа  ЋЎ­ а㦥­ЁҐ SSDP ЋЇаҐ¤Ґ«Ґ­ЁҐ ®Ў®а㤮ў ­Ёп ®Ў®«®зЄЁ ЋЇвЁ¬Ё§ жЁп ¤®бв ўЄЁ ЏЁв ­ЁҐ Џ« ­Ёа®ўйЁЄ § ¤ ­Ё© Џ®«м§®ў вҐ«мбЄ п б«г¦Ў  DVR ¤«п ЁЈа Ё ва ­б«пжЁЁ_83669 Џ®«м§®ў вҐ«мбЄ п б«г¦Ў  push-㢥¤®¬«Ґ­Ё© Windows_83669 Џ®«м§®ў вҐ«мбЄ п б«г¦Ў  ЎгдҐа  ®Ў¬Ґ­ _83669 Џ®б।­ЁЄ Ї®¤Є«о祭Ё© Є бҐвЁ Џа®Ја ¬¬   аеЁў жЁЁ ¤ ­­ле ‘ўҐ¤Ґ­Ёп ® ЇаЁ«®¦Ґ­ЁЁ ‘ҐаўҐа ‘ҐвҐўлҐ Ї®¤Є«о祭Ёп ‘Ё­еа®­Ё§ жЁп г§« _83669 ‘Ёб⥬  б®ЎлвЁ© COM+ ‘«г¦Ў  "ЃҐ§®Ї б­®бвм Windows" ‘«г¦Ў  AVCTP ‘«г¦Ў  SSTP ‘«г¦Ў  Windows License Manager ‘«г¦Ў   ўв®¬ вЁзҐбЄ®Ј® ®Ў­ а㦥­Ёп ўҐЎ-Їа®ЄбЁ WinHTTP ‘«г¦Ў  Ў §®ў®© дЁ«мва жЁЁ ‘«г¦Ў  ЈҐ®Ја дЁзҐбЄ®Ј® Ї®«®¦Ґ­Ёп ‘«г¦Ў  ¤ЁбЇҐвзҐа  ¤®бвгЇ  Є ў®§¬®¦­®бвп¬ ‘«г¦Ў  ¤®бвгЇ  Є ¤ ­­л¬ Ї®«м§®ў вҐ«п_83669 ‘«г¦Ў  Ё­вҐадҐ©б  б®еа ­Ґ­Ёп бҐвЁ ‘«г¦Ў  Ё­да бвагЄвгал д®­®ўле § ¤ з ‘«г¦Ў  Є®­в Єв­ле ¤ ­­ле_83669 ‘«г¦Ў  Єни  иаЁдв®ў Windows ‘«г¦Ў  ­ бва®©ЄЁ бҐвЁ ‘«г¦Ў  ®аЄҐбва в®а  ®Ў­®ў«Ґ­Ё© ‘«г¦Ў  Ї« вд®а¬л Ї®¤Є«о祭­ле гбва®©бвў ‘«г¦Ў  Ї®«ЁвЁЄЁ ¤Ё Ј­®бвЁЄЁ ‘«г¦Ў  Ї®«ЁвЁЄЁ ®в®Ўа ¦Ґ­Ёп ‘«г¦Ў  Ї®«м§®ў вҐ«п Ї« вд®а¬л Ї®¤Є«о祭­ле гбва®©бвў_83669 ‘«г¦Ў  Ї®¬®й­ЁЄ  Ї® б®ў¬ҐбвЁ¬®бвЁ Їа®Ја ¬¬ ‘«г¦Ў  Їа®дЁ«Ґ© Ї®«м§®ў вҐ«Ґ© ‘«г¦Ў  а §ўҐавлў ­Ёп AppX (AppXSVC) ‘«г¦Ў  ९®§Ёв®аЁп б®бв®п­Ё© ‘«г¦Ў  ᢥ¤Ґ­Ё© ® Ї®¤Є«о祭­ле бҐвпе ‘«г¦Ў  ᥭб®а­®© Є« ўЁ вгал Ё Ї ­Ґ«Ё агЄ®ЇЁб­®Ј® ўў®¤  ‘«г¦Ў  бЁб⥬л push-㢥¤®¬«Ґ­Ё© Windows ‘«г¦Ў  б®ў¬Ґбв­®Ј® ¤®бвгЇ  Є ¤ ­­л¬ ‘«г¦Ў  бЇЁбЄ  бҐвҐ© ‘«г¦Ў  㢥¤®¬«Ґ­Ёп ® бЁб⥬­ле б®ЎлвЁпе ‘«г¦Ў  гЇа ў«Ґ­Ёп а ¤Ё® ‘«г¦Ў  еа ­Ґ­Ёп ¤ ­­ле Ї®«м§®ў вҐ«п_83669 ‘«г¦Ў  еа ­Ё«Ёй  ‘«г¦Ўл ЄаЁЇв®Ја дЁЁ ‘®Ї®бв ўЁвҐ«м Є®­Ґз­ле в®зҐЄ RPC ‘।бвў® Ї®бв஥­Ёп Є®­Ґз­ле в®зҐЄ Windows Audio ’Ґ«Ґд®­Ёп ’Ґ¬л “¤ «Ґ­­л© ўл§®ў Їа®жҐ¤га (RPC) “§Ґ« бЁбвҐ¬л ¤Ё Ј­®бвЁЄЁ “§Ґ« б«г¦Ўл ¤Ё Ј­®бвЁЄЁ “Їа ў«Ґ­ЁҐ ЇаЁ«®¦Ґ­Ёп¬Ё ”®­®ў п Ё­вҐ««ҐЄвг «м­ п б«г¦Ў  ЇҐаҐ¤ зЁ (BITS) –Ґ­ва ®ЎҐбЇҐзҐ­Ёп ЎҐ§®Ї б­®бвЁ Ёда®ў ­­ п д ©«®ў п бЁб⥬  (EFS)
Љ®¬ ­¤  ўлЇ®«­Ґ­  гбЇҐи­®.

netstat.exe -e [ Содержание ]

‘в вЁбвЁЄ  Ё­вҐадҐ©б  Џ®«г祭® ЋвЇа ў«Ґ­®
Ѓ ©в 0 0
Ћ¤­® ¤аҐб­лҐ Ї ЄҐвл 0 0
Њ­®Ј® ¤аҐб­лҐ Ї ЄҐвл 0 0
ЋвЎа®иҐ­® 0 0
ЋиЁЎЄЁ 0 0
ЌҐЁ§ўҐбв­л© Їа®в®Є®« 0

netstat.exe -o [ Содержание ]

ЂЄвЁў­лҐ Ї®¤Є«о祭Ёп €¬п ‹®Є «м­л©  ¤аҐб ‚­Ґи­Ё©  ¤аҐб ‘®бв®п­ЁҐ PID

netstat.exe -s [ Содержание ]

‘в вЁбвЁЄ  IPv4 Џ®«г祭® Ї ЄҐв®ў = 837247 Џ®«г祭® ®иЁЎ®Є ў § Ј®«®ўЄ е = 0 Џ®«г祭® ®иЁЎ®Є ў  ¤аҐб е = 0 Ќ Їа ў«Ґ­® ¤ в Ја ¬¬ = 0 Џ®«г祭® ­ҐЁ§ўҐбв­ле Їа®в®Є®«®ў = 5 ЋвЎа®иҐ­® Ї®«г祭­ле Ї ЄҐв®ў = 1600 „®бв ў«Ґ­® Ї®«г祭­ле Ї ЄҐв®ў = 1168292 ‡ Їа®б®ў ­  ўлў®¤ = 833568 ЋвЎа®иҐ­® ¬ аиагв®ў = 0 ЋвЎа®иҐ­® ўл室­ле Ї ЄҐв®ў = 0 ‚л室­ле Ї ЄҐв®ў ЎҐ§ ¬ аиагв  = 50 ’ॡгҐвбп бЎ®аЄ  = 0 “бЇҐи­ п бЎ®аЄ  = 0 ‘Ў®Ґў ЇаЁ бЎ®аЄҐ = 0 “бЇҐи­® да Ј¬Ґ­вЁа®ў ­® ¤ в Ја ¬¬ = 0 ‘Ў®Ґў ЇаЁ да Ј¬Ґ­в жЁЁ ¤ в Ја ¬¬ = 0 ‘®§¤ ­® да Ј¬Ґ­в®ў = 0
‘в вЁбвЁЄ  IPv6 Џ®«г祭® Ї ЄҐв®ў = 0 Џ®«г祭® ®иЁЎ®Є ў § Ј®«®ўЄ е = 0 Џ®«г祭® ®иЁЎ®Є ў  ¤аҐб е = 0 Ќ Їа ў«Ґ­® ¤ в Ја ¬¬ = 0 Џ®«г祭® ­ҐЁ§ўҐбв­ле Їа®в®Є®«®ў = 0 ЋвЎа®иҐ­® Ї®«г祭­ле Ї ЄҐв®ў = 0 „®бв ў«Ґ­® Ї®«г祭­ле Ї ЄҐв®ў = 6658420 ‡ Їа®б®ў ­  ўлў®¤ = 6658425 ЋвЎа®иҐ­® ¬ аиагв®ў = 0 ЋвЎа®иҐ­® ўл室­ле Ї ЄҐв®ў = 0 ‚л室­ле Ї ЄҐв®ў ЎҐ§ ¬ аиагв  = 0 ’ॡгҐвбп бЎ®аЄ  = 0 “бЇҐи­ п бЎ®аЄ  = 0 ‘Ў®Ґў ЇаЁ бЎ®аЄҐ = 0 “бЇҐи­® да Ј¬Ґ­вЁа®ў ­® ¤ в Ја ¬¬ = 0 ‘Ў®Ґў ЇаЁ да Ј¬Ґ­в жЁЁ ¤ в Ја ¬¬ = 0 ‘®§¤ ­® да Ј¬Ґ­в®ў = 0
‘в вЁбвЁЄ  ICMPv4 Џ®«г祭® ЋвЇа ў«Ґ­® ‘®®ЎйҐ­Ё© 459 959 ЋиЁЎ®Є 0 0 'Ќ §­ зҐ­ЁҐ ­Ґ¤®бвЁ¦Ё¬®' 399 893 ЏаҐўл襭Ё© ўаҐ¬Ґ­Ё 38 0 ЋиЁЎ®Є ў Ї а ¬Ґва е 0 0 Џа®бмЎ "б­Ё§Ёвм бЄ®а®бвм" 0 0 ЏҐаҐ ¤аҐб®ў ­® 0 0 ЋвўҐв­ле Ї ЄҐв®ў 22 0 ќе®-б®®ЎйҐ­Ё© 0 66 Ћв¬Ґв®Є ўаҐ¬Ґ­Ё 0 0 ЋвўҐвл ­  ®в¬ҐвЄЁ ўаҐ¬Ґ­Ё 0 0 Њ б®Є  ¤аҐб®ў 0 0 ЋвўҐв®ў ­  ¬ бЄЁ  ¤аҐб®ў 0 0 Њ аиагвЁ§ в®а 0 0 Њ аиагвЁ§ в®а 0 0
ICMPv6 ‘в вЁбвЁЄ  Џ®«г祭® ЋвЇа ў«Ґ­® ‘®®ЎйҐ­Ё© 0 0 ЋиЁЎ®Є 0 0 'Ќ §­ зҐ­ЁҐ ­Ґ¤®бвЁ¦Ё¬®' 0 0 Џ ЄҐв б«ЁиЄ®¬ ўҐ«ЁЄ 0 0 ЏаҐўл襭Ё© ўаҐ¬Ґ­Ё 0 0 ЋиЁЎ®Є ў Ї а ¬Ґва е 0 0 ќе®-б®®ЎйҐ­Ё© 0 0 ЋвўҐв­ле Ї ЄҐв®ў 0 0 MLD-§ Їа®бл 0 0 MLD-®взҐвл 0 0 MLD ўлЇ®«­Ґ­® 0 0 Њ аиагвЁ§ в®а 0 0 Њ аиагвЁ§ в®а 0 0 ЋЄа㦥­ЁҐ 0 0 ЋЄа㦥­ЁҐ 0 0 ЏҐаҐ ¤аҐб®ў ­® 0 0 ЏҐаҐ­г¬Ґа. ¬ аиагвЁ§ в®а  0 0
‘в вЁбвЁЄ  TCP ¤«п IPv4 ЂЄвЁў­ле ®вЄалв® = 19508 Џ ббЁў­ле ®вЄалв® = 119 ‘Ў®Ґў ЇаЁ Ї®¤Є«о祭ЁЁ = 4396 ‘Ўа®иҐ­® Ї®¤Є«о祭Ё© = 1208 ’ҐЄгйЁе Ї®¤Є«о祭Ё© = 0 Џ®«г祭® ᥣ¬Ґ­в®ў = 1170661 ЋвЇа ў«Ґ­® ᥣ¬Ґ­в®ў = 460623 Џ®ўв®а­® ®вЇа ў«Ґ­® ᥣ¬Ґ­в®ў = 0
‘в вЁбвЁЄ  TCP ¤«п IPv6 ЂЄвЁў­ле ®вЄалв® = 3690 Џ ббЁў­ле ®вЄалв® = 497 ‘Ў®Ґў ЇаЁ Ї®¤Є«о祭ЁЁ = 3533 ‘Ўа®иҐ­® Ї®¤Є«о祭Ё© = 504 ’ҐЄгйЁе Ї®¤Є«о祭Ё© = 0 Џ®«г祭® ᥣ¬Ґ­в®ў = 6386968 ЋвЇа ў«Ґ­® ᥣ¬Ґ­в®ў = 3187156 Џ®ўв®а­® ®вЇа ў«Ґ­® ᥣ¬Ґ­в®ў = 0
‘в вЁбвЁЄ  UDP ¤«п IPv4 Џ®«г祭® ¤ в Ја ¬¬ = 8694 ЋвбгвбвўЁҐ Ї®ав®ў = 1406 ЋиЁЎЄЁ ЇаЁ Ї®«г祭ЁЁ = 2783 ЋвЇа ў«Ґ­® ¤ в Ја ¬¬ = 12328
‘в вЁбвЁЄ  UDP ¤«п IPv6 Џ®«г祭® ¤ в Ја ¬¬ = 284106 ЋвбгвбвўЁҐ Ї®ав®ў = 0 ЋиЁЎЄЁ ЇаЁ Ї®«г祭ЁЁ = 0 ЋвЇа ў«Ґ­® ¤ в Ја ¬¬ = 284106

netstat.exe -n [ Содержание ]

ЂЄвЁў­лҐ Ї®¤Є«о祭Ёп €¬п ‹®Є «м­л©  ¤аҐб ‚­Ґи­Ё©  ¤аҐб ‘®бв®п­ЁҐ

nbtstat.exe -c [ Содержание ]

 Не удается отобразить результаты служебных программ консоли. 

nbtstat.exe -n [ Содержание ]

 Не удается отобразить результаты служебных программ консоли. 

nbtstat.exe -r [ Содержание ]

 Не удается отобразить результаты служебных программ консоли. 

nbtstat.exe -S [ Содержание ]

 Не удается отобразить результаты служебных программ консоли. 

netsh.exe dump [ Содержание ]

#========================
# Љ®­дЁЈга жЁп Ё­вҐа䥩б 
#========================
pushd interface
popd
# Љ®­Ґж Є®­дЁЈга жЁЁ Ё­вҐа䥩б 
# ----------------------------------
# Љ®­дЁЈга жЁп 6to4
# ----------------------------------
pushd interface 6to4
reset
popd
# Љ®­Ґж Є®­дЁЈга жЁЁ 6to4
# ----------------------------------
# Љ®­дЁЈга жЁп IPHTTPS
# ----------------------------------
pushd interface httpstunnel
reset
popd
# Љ®­Ґж Є®­дЁЈга жЁЁ IPHTTPS
# ----------------------------------
# Љ®­дЁЈга жЁп IPv4
# ----------------------------------
pushd interface ipv4
reset
popd
# Љ®­Ґж Є®­дЁЈга жЁЁ IPv4
# ----------------------------------
# Љ®­дЁЈга жЁп IPv6
# ----------------------------------
pushd interface ipv6
reset
set interface interface="Ethernet (®в« ¤зЁЄ п¤а )" forwarding=enabled advertise=enabled nud=enabled ignoredefaultroutes=disabled
set interface interface="Ethernet" forwarding=enabled advertise=enabled nud=enabled ignoredefaultroutes=disabled
popd
# Љ®­Ґж Є®­дЁЈга жЁЁ IPv6
# ----------------------------------
# Љ®­дЁЈга жЁп ISATAP
# ----------------------------------
pushd interface isatap
popd
# Љ®­Ґж Є®­дЁЈга жЁЁ ISATAP
# ----------------------------------
# Љ®­дЁЈга жЁп 6to4
# ----------------------------------
pushd interface 6to4
reset
popd
# Љ®­Ґж Є®­дЁЈга жЁЁ 6to4
# ----------------------------------
# Љ®­дЁЈга жЁп ISATAP
# ----------------------------------
pushd interface isatap
popd
# Љ®­Ґж Є®­дЁЈга жЁЁ ISATAP
#===========================
# Љ®­дЁЈга жЁп Ї®ав®ў Їа®ЄбЁ
#===========================
pushd interface portproxy
reset
popd
# Љ®­Ґж Є®­дЁЈга жЁЁ Ї®ав®ў Їа®ЄбЁ
# ----------------------------------
# Љ®­дЁЈга жЁп TCP
# ----------------------------------
pushd interface tcp
reset
set global rss=enabled autotuninglevel=normal congestionprovider=default ecncapability=disabled timestamps=disabled initialrto=1000 rsc=enabled nonsackrttresiliency=disabled maxsynretransmissions=4 fastopen=enabled fastopenfallback=enabled hystart=enabled prr=enabled pacingprofile=off
popd
# Љ®­Ґж Є®­дЁЈга жЁЁ TCP
# ----------------------------------
# Љ®­дЁЈга жЁп Teredo
# ----------------------------------
pushd interface teredo
set state type=disabled servername=win1910.ipv6.microsoft.com. servervirtualip=0.0.0.0
popd
# Љ®­Ґж Є®­дЁЈга жЁЁ Teredo
# ----------------------------------
# Љ®­дЁЈга жЁп UDP
# ----------------------------------
pushd interface udp
reset
set global uro=disabled
popd
# Љ®­Ґж Є®­дЁЈга жЁЁ UDP
# ------------------------------------
# Ќ бва®©Є  ¬®бв  (­Ґ Ї®¤¤Ґа¦Ёў Ґвбп)
# ------------------------------------
# ------------------------------------
# Љ®­Ґж ­ бва®©ЄЁ ¬®бв 
# ------------------------------------
Љ®¬ ­¤  "netsh advfirewall dump" ­Ґ ॠ«Ё§®ў ­  ў нв®© ўҐабЁЁ
Windows. €бЇ®«м§г©вҐ ў¬Ґбв® нв®Ј® Є®¬ ­¤г "netsh advfirewall export" ¤«п § ЇЁбЁ
⥪г饩 Є®­дЁЈга жЁЁ Ўа ­¤¬ гна  Windows ў ०Ё¬Ґ Ї®ўл襭­®© ЎҐ§®Ї б­®бвЁ Ё§
⥪г饣® еа ­Ё«Ёй  Ї®«ЁвЁЄ ў д ©« ­  ¤ЁбЄҐ. ‡ вҐ¬ ¬®¦­® ЁбЇ®«м§®ў вм Є®¬ ­¤г "netsh
advfirewall import" ¤«п з⥭Ёп д ©«  Ё ҐЈ® § Јаг§ЄЁ ў ¤агЈ®Ґ еа ­Ё«ЁйҐ Ї®«ЁвЁЄ,
­ ЇаЁ¬Ґа ў ®ЎкҐЄв ЈагЇЇ®ў®© Ї®«ЁвЁЄЁ Ё«Ё ⥪г饥 еа ­Ё«ЁйҐ Ї®«ЁвЁЄ
­  ¤агЈ®¬ Є®¬ЇмовҐаҐ. —в®Ўл § ¤ вм ⥪г饥 еа ­Ё«ЁйҐ Ї®«ЁвЁЄ, ЁбЇ®«м§г©вҐ Є®¬ ­¤г "netsh
advfirewall set store".
„®Ї®«­ЁвҐ«м­лҐ ᢥ¤Ґ­Ёп ® Є®¬ ­¤ е ў Є®­вҐЄб⥠netsh advfirewall
б¬. ў бв вмҐ "Љ®¬ ­¤л Netsh ¤«п Ўа ­¤¬ гна  Windows ў ०Ё¬Ґ Ї®ўл襭­®© ЎҐ§®Ї б­®бвЁ" Ї®  ¤аҐбг
https://go.microsoft.com/fwlink/?linkid=111237.
# ----------------------------------------
# Ќ бва®©Є  Їа®ў®¤­®© «®Є «м­®© бҐвЁ
# ----------------------------------------
pushd lan
popd
# Љ®­Ґж ­ бва®©ЄЁ Їа®ў®¤­®© «®Є «м­®© бҐвЁ
„ ¬Ї Є®­дЁЈга жЁЁ ¬®ЎЁ«м­®Ј® иЁа®Є®Ї®«®б­®Ј® Ї®¤Є«о祭Ёп ­Ґ Ї®¤¤Ґа¦Ёў Ґвбп
# -----------------------------------------
# Љ®­дЁЈга жЁп RAS
# -----------------------------------------
pushd ras
popd
# Љ®­Ґж Є®­дЁЈга жЁЁ RAS.
# -------------------------------------------
# Љ®­дЁЈга жЁп ¤Ё Ј­®бвЁЄЁ г¤ «Ґ­­®Ј® ¤®бвгЇ 
# -------------------------------------------
pushd ras diagnostics
set rastracing component = * state = disabled
set modemtracing state = disabled
set cmtracing state = disabled
set securityeventlog state = disabled
popd
# Љ®­Ґж Є®­дЁЈга жЁЁ ¤Ё Ј­®бвЁЄЁ г¤ «Ґ­­®Ј® ¤®бвгЇ .
# -----------------------------------------
# Љ®­дЁЈга жЁп г¤ «Ґ­­®Ј® ¤®бвгЇ  AAAA
# -----------------------------------------
pushd ras aaaa
popd
# Љ®­Ґж AAAA-Є®­дЁЈга жЁЁ.
# -----------------------------------------
# Љ®­дЁЈга жЁп Їа®ЄбЁ-бҐаўҐа®ў WinHTTP
# -----------------------------------------
pushd winhttp
reset proxy
popd
# Љ®­Ґж Є®­дЁЈга жЁЁ Їа®ЄбЁ-бҐаўҐа®ў WinHTTP

netsh.exe namespace show policy [ Содержание ]

Џ а ¬Ґвал в Ў«Ёжл Ї®«ЁвЁЄЁ а §аҐиҐ­Ёп DNS-Ё¬Ґ­

Файлы телефонных книг [ Содержание ]

 Не удается отобразить системную телефонную книгу удаленного доступа, или нет подключений удаленного доступа. 

StandardBias

This value is added to the value of the Bias member to form the bias used during standard time. In most time zones the value of this member is zero.

:/>  Память ноутбука заполнена хотя там ничего нет

Резюме файла IDENTIFIER

Файлы IDENTIFIER связаны с один типом (-ами) файлов, и их можно просматривать с помощью Microsoft Windows, разработанного Microsoft Corporation. В целом, этот формат связан с один существующим (-и) прикладным (-и) программным (-и) средством (-ами). Обычно они имеют формат Windows Zone Identifier File.
Чаще всего файлы IDENTIFIER классифицируют, как System Files.

Файлы с расширением IDENTIFIER были идентифицированы на настольных компьютерах (и некоторых мобильных устройствах). Они полностью или частично поддерживаются Windows.

Рейтинг популярности расширения файла IDENTIFIER составляет «Низкий», что означает, что эти файлы, как правило, не встречаются в большинстве файловых хранилищ пользователя.

Распространенность
Статус
Страница Последнее обновление

FileViewPro открывает файлы IDENTIFIER

Forensic Analysis of the Zone.Identifier Stream

DaylightName

The Operating System uses this name during daylight saving months to display the current time Zone setting.

Zone Identifier, ADS and URL Zones

If you are new to the field of digital forensics, you may not be aware of Zone Identifiers, Alternate Data Streams (ADS) or URL Zones. If that is the case, then you have come to the right place. We shall explain all and show you exactly how they can help you during an investigation. First of all, we need to take a look at Alternate Data Streams.

ADS and PowerShell

PowerShell comes with a built-in feature to read ADS. There are several commands that can be used to read and edit them:

  • Get-Item
  • Set-Item
  • Remove-Item
  • Add-Content
  • Get-Content
  • Set-Content

Listing all the streams of a file:

Get-Item -Path [filename] -Stream *

Adding hidden message into ADS:

Add-Content -Path [filename] -Value [my hidden message] -Stream [new_stream]

DaylightBias

This value specifies a bias value to be used during local time translations that occur during daylight time. This value is added to the value of the Bias member to form the bias used during daylight time. In most time zones the value of this member is –60.

Типы IDENTIFIER

Основной тип IDENTIFIER

Forensic Analysis of the Zone.Identifier Stream

Файл IDENTIFIER представляет собой файл, который содержит метаданные, описывающие зоны безопасности, связанные с другим файлом IDENTIFIER file.The генерируется автоматически при загрузке файла из Интернета или полученные в электронной attachment.The IDENTIFIER Файл часто созданные файлы идентификаторы Интернета Explorer.Zone также известны как «альтернативный поток данных» (ADS) файлы.

Forensic Analysis of the Zone.Identifier Stream

Найти другие файлы

Forensic Analysis of the Zone.Identifier Stream

Запросы IDENTIFIER

Популярные устройства

Easily Process Zone. Identifier Streams in Your Investigation

As a forensic investigator, what is an easy way to examine the Zone.Identifier stream from downloaded files? Luckily, there is a simple solution when using NetAnalysis® as part of your forensic process. NetAnalysis® v3 adds support for importing data from this hidden Alternate Data Stream.

As NetAnalysis® searches through all files, it identifies supported types, and checks for the presence of NTFS Alternate Data Streams. Any files containing a Zone.Identifier ADS are processed and added to the grid for analysis with the Zone Identifier Entry Type.

The image below shows the entry we manually examined above imported into NetAnalysis®. The Information Panel shows the associated metadata, including file system information. All the other properties from the stream, which are not displayed in the Information panel, can be found in the corresponding columns in the NetAnalysis® grid.

NetAnalysis Zone Identifier Examination and Analysis
NetAnalysis® Displaying Zone Identifier Entries and Metadata

What is the Zone. Identifier Stream?

The Zone.Identifier feature was first introduced in Windows XP Service Pack 2 and Windows Server 2003 Service Pack 1. It was designed as a security feature and provided storage for URL Security Zone information. In essence, the feature allowed Windows to determine whether a file should be trusted or not. Internet Explorer would add a Zone.Identifier stream to all downloaded files and set an ID which indicated which Zone the file originated from (such as Zone 3, the Internet Zone). We will look at this further in a moment.

Appendix

  • https://technet.microsoft.com/en-us/sysinternals/streams.aspx – Streams – tools from SysInternals to view ADS
  • https://msdn.microsoft.com/en-us/library/ms537021%28v=VS.85%29.aspx – URL security zones
  • https://winitor.com/pdf/NtfsAlternateDataStreams.pdf – presentation about Windows Alternate Data Streams by Marc Ochsenmeier
  • https://www.bleepingcomputer.com/tutorials/windows-alternate-data-streams/ – Bleeping Computer on ADS