artefakte
Windows-Artefakte
| Artefakt | Befehl | Beschreibung |
|---|---|---|
| Registry Hives (DEFAULT, SAM, SECURITY, SYSTEM, COMPONENTS) | C:\Windows\System32\Config | |
| SHIM-Cache (zeichnet auf, ob eine Applikation wirklich ausgeführt wurde | C:\Windows\AppCompat\Programs\Amcache C:\Windows\AppCompat\Programs\Amcache.hve.log* |
|
| Eventlog-Dateien (System.evtx, Application.evtx, Security.evtx) | C:\Windows\System32\winevt\logs | |
| MFT-Datei | C:\$MFT | |
| Windows Prefetch-Dateien1 | C:\Windows\Prefetch |
artefakte.txt · Zuletzt geändert: 2024/09/24 15:15 von ranca