Guía de SS, dificultad media y difícil.

--------- Grabadores ---------

System informer > View > Windows > Buscaremos grabadores ocultos.
No olvidarnos de buscar grabadores como, psr, nvdia, amd, obs, camtasia...
--------- Windows+r ----------
-> Grabación con ffmpeg ( Grabación desde CMD ): Process Hacker -> [Link]
-> Grabación con ffmpeg ( Grabación desde CMD ): Process Hacker -> View -> Windows
-> Proceso
relacionado con CMD -> Click derecho ( Visible ) -> Click derecho ( Enable )
-> Click derecho en el escritorio: AMD Radeon Software -> Grabación y Streaming
-> Windows+r: psr ( Esto recopila una serie de capturas )
-> Buscador de Windows: GeForce Experience -> Ajustes -> Superposición dentro del
juego
-> Windows+r: Gamebar -> Configuración de la controladora de juegos -> Capturas
-> Windows+r: shell:::{05d7b0f4-2121-4eff-bf6b-ed3f69b894d9} ( Podemos ver los
iconos ocultos )
-> Windows+r: shell:recent ( Podemos ver lo ultimo que la computadora abrio )
-> Windows+r: Control folders -> Mostrar archivos y carpetas ocultos -> Mostrar
arhivos protegidos por el
sistema operativo
-> Windows+r: %temp% -> Rar$EX
-> Windows+r: taskmgr ( Admin de tareas )
-> Windows+r: appdata -> Local -> Microsoft -> CLR_v4.0 -> Usage Logs ( Usado para
ver el registro de
aplicaciones que manejen el lenguaje CLR )
-> Windows+r: appdata -> Local -> Microsoft -> CLR_v4.0_32 -> Usage Logs ( Usado
para ver el registro
de aplicaciones que manejen el lenguaje CLR )
-> Windows+r: [Link] ( Podemos ver el historial de aplicaciones instaladas por
el usuario)
-> Windows+r: C:\Users-> Busquedas -> Ubicaciones Indizadas ( Podemos ver la fecha
de modificación
de todo archivo si no está borrado )
-> Windows+r: [Link] -> Configuración Avanzada -> Reglas de entrada ( Sirve
para ver los archivos
que pasaron por un scan de firewall )
-> Windows+: appdata -> Local -> CrashDumps ( Podremos ver las aplicaciones que
crashearon)
-> Windows+r: msinfo32 -> "Modelo del sistema" ( Podemos ver si está usando una
máquina virtual )
-> Windows + R = C:\Windows\appcompat\Programs\Install ( Registro de programas
instalados en el pc )
-> Windows + R = C:\Users\%USERNAME%\AppData\Local\Microsoft\Windows\History
( Permite ver el
historial de algunos archivos ejecutados recientemente )
-> Windows + R = C:\ProgramData\Microsoft\Windows\WER\ReportArchive ( Podremos ver
el historial de
appcrash )
-> Windows + R = C:\$[Link]
-> Windows + R = %appdata% > Microsoft > Windows > Elementos Recientes
--------- Eventvwr ---------
Modificación de horario: Se filtra la ID 4616 en "Seguridad" o la ID 1 y vemos la
información que sale en
"Kernel-General".
Borrado de registro: Se filtra la ID 1102 en "Seguridad"
Error de compatibilidad: Se filtra la ID 17 "Registros de aplicaciones y servicios
-> Windows ->
Application-Experience -> Asistente para la compatibilidad de programas"
Usuario cambiado: Se filtra la ID 4634 en "Seguridad"
Journal Eliminado: Se filtra la ID 3079 en "Seguridad"
Journal creado: Se filtra la ID 500 en " Registros de Aplicaciones > Microsoft >
Windows > NTFS >
Operational "
--------- Regedit ---------
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices ( Particiones eliminadas )
HKEY_CURRENT_USERSOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\FeatureUsage\
AppS
witched ( Podemos ver todos los .exe que el usuario tiene o tuvo )
HKEY_CLASSES_ROOT\Local Settings\Software\Microsoft\Windows\Shell\MuiCache
( Podemos ver
varios .exe )
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\
OpenSavePid
lMRU ( Podemos ver la mayoría de archivos que el usuario ejecutó desde el inicio de
sesión del pc )
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\
LastVisitedPi
dlMRU ( Podemos ver algunos .exe y algunas inyecciones en los procesos )
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\
CIDSize
MRU ( Archivos abiertos sin antiguedad definida )
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\bam\State\UserSettings\S-1-5-
21-37172
94198-4166066372-1238365284-1001 ( Sirve para ver algunos archivos ejecutados )
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TypedPaths
( Nos sirve
para ver las rutas escritas en la barra de exploración )
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer\
DisallowRu (
Registros que muestran si un usuario bloqueo algun archivo )
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet ( Navegadores instalados )
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet
Explorer\LowRegistry\Audio\PolicyConfig\PropertyStore\ ( Registros que dejan
los .exes que necesitan
internet)
HKEY_CURRENT_USER\SOFTWARE\AMD\HKIDs ( Algunos archivos ejecutados )
Equipo\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\
RecentDocs
HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion\AppCompatFlags\Compatibility Assistant\Store
--------- CMD y PowerShell ---------
TaskList
Diskpart -> list volume -> assign letter "Letra" -> Remove letter=(letra)"
Tree
dir/b/s c:\users *.jar
dir/b/s c:\users *.dll
dir/b/s c:\users *.exe
fsutil usn readjournal c: csv | findstr /i /c:.exe | findstr /i /c:0x00002000 >>
[Link]
fsutil usn readjournal c: csv | findstr /i /c:.exe | findstr /i /c:0x00001000 >>
[Link]
fsutil usn readjournal c: csv | findstr /i /c:.exe | findstr /i /c:0x00000100 >>
[Link]
fsutil usn readjournal c: csv | findstr /i /c:.exe | findstr /i /c:0x80000200 >>
[Link]
cd c:%HOMEPATH%\DESKTOP
Gci -Recurse -filter (*.exe *.jar *.dll)
Get-Childitem -recurse (*.exe *.jar *.dll )
Get-ChildItem -Path $shareName | Where-Object { $_.psIsContainer -eq $true }
( Carpetas
modificadas )
C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadLine
( Comandos recientemente usados )
Get-ChildItem C:\Users\User\AppData\Roaming\.minecraft -Filter
*(.properties /.txt /.log )
-Recurse ( Veremos todos los archivos con esa extensión en la .minecraft )
Get-ChildItem -Path $shareName | Where-Object { $_.psIsContainer -eq $true }
( Veremos
la hora de modificación de alguna carpeta )
Ipconfig/displaydns
Para comprobar la actividad de algun servicio haremos lo siguiente:
- sc query (servicio) >
appinfo/diagtrack/dps/bam/bfe/dusmsvc/pcasvc/sysmain/eventlog...
Para startear un servicio haremos lo siguiente:
- sc start (servicio)
Para detener un servicio haremos lo siguiente:
- sc stop (servicio)
--------- Archivos shift deleteados ---------
Crear carpeta escritorio y copiar ruta al cmd agregando un cd al principio
cd C:\Users\PC MINI\OneDrive\Escritorio
fsutil usn readjournal c: csv | findstr /i /c:.exe | findstrcl
o
fsutil usn readjournal c: csv | findstr /i /c:.exe | findstr /i /c:0x80000200 >>
[Link]
--------- Process Hacker / System Informer ---------
GhostClient Interno:
javaw -> GhostClient name or mod name
Luyten -> Arrastrar el .jar-> find all ( aim assist ) ejemplo
Bintext: Abrir el .jar con winrar, arrastrar los .txt "class" o "classes" al
bintext y sacar tu mismo la string, buscarla en el proceso java
-> Diagtrack / Dps / Msmpeng > Dumpeas > ^\\device\\((?!harddiskvolume3).) $ //
^\\device\\harddiskvolume[0-99]\\((?!exe).) $ > Regex case > ^\\device\\((?!
harddiskvolume3).) $ en caso
de que no sea el 3 pueden cambiarlo al otro que tenga el usuario > Archivos
extension modificada en
regex > ^\\device\\harddiskvolume[0-99]\\((?!exe).) $
-> Explorer: pcaclient (exportar .txt)
File:/// -> .exe / .jar / .dll / .bat
ms-shellactivity -> .exe
:\users\ > .dll
-> [Link] > String: c:\ .exe .dll .bat .cmd
-> dps > !! > .exe
-> Appinfo > String c:\ .exe
- \??\ > .exe
- :\ > .exe > users
-> cdpusersvc > c:\users > .exe
-> WinLogon: c: c:\
.exe .exe
-> csrss > :\ > .exe | Users / Program Files
-> pcasvc > Exit with error
-> SearchIndexer > String: fil[Link]
-> cdpusersvc: :\ -> .exe
-> Registry -> [Link] -> ( Salen borrados tanto no borrados )
-> SgrmBroker -> "Lenght 100" -> .exe / filtrar exitcode ver exit code que no sea 0
y podemos filtrar en
case in con el nombre del cheat / "ExitCode":[1-9] | Regex (Case-Insensitive)
-> Registry -> .exes en System 32 : %SystemRoot%\system32\ -> .exe
:\ -> .exe
:\ -> FriendlyAppName (Fijarse bien)
:\ -> RASAPI32 (Para ver si renamearon algo)
.exe>
Volume{ -> .exe
-> Msmpeng > [Link]
Lghub_agent.exe-> - macro_action
- pushing request
FAT32 REPLACES
SearchIndexer -> Properties -> Memory -> Strings -> fil[Link] -> .exe ( Fat32 Replace
)
csrss -> :\ -> .exe -> D:\ ( Con esto sabes del replace Fat32)
SgrmBroker -> ( D: name ) -> Guardamos como .txt y subimos a [Link]/sgrm
Registry -> NAME -> Deben salir 2 [Link]
pcasvc -> NAME -> Deben salir 2 [Link]
SELF DESTRUCT
Javaw-> Java/Net/URLDecoder;
Secondary Finalizer
(FF)D
java/lang/ref/Finalizer$[Link]
(DD)F
--------- Macros ---------
-> Logitech: C:\%USERPROFILE%\AppData\Roaming\LGHUB -> [Link]
-> Razer: C:\ProgramData\Razer\Razer Central\Accounts
C:\Users\%user%\AppData\Local\Razer\Synapse3\Log\Razer Synapse [Link] ( Emily3 )
-> glorius: C:/Users/%Usuario%/AppData/BYCOMBO-2/mac
-> corsair: C:\users\%USERNAME%\%appdata%\corsair -> carpeta CUE y mirad la
modificación del
archivo .config y de la carpeta "Corsair"
-> RedDragon: C:\Users\%username%\AppData\Roaming\REDRAGON\GamingMouse ->
[Link],
[Link]
-> RedDragon711: C:\Users\%USERNAME%\Documents\M711 -> MacroDB
-> xenon[Link]\Program Files (x86)\Xenon200\ -> *Configs*
-> bloody: C:\Program Files (x86)\Bloody7\Bloody7\UserLog\Mouse
-> coolermaster: C:\ProgramData\CoolerMaster\PORTAL\config\ -> mm710 / mm710
-> steelseries: C:\Users\%username%\AppData\Roaming\steelseries-engine-3-client\
Session
Storage\[Link] -> C:\Users\%username%\AppData\Roaming\steelseries-engine-3-
client\Local
Storage\leveldb\00000*.log (* es dependiendo del numero con fecha de modificación
más reciente)
-> alienwar[Link]\ProgramData\Alienware\AlienWare Command Center\fxmetadata -> .json
-> roccat:C:\Users\%username%\AppData\Roaming\ROCCAT\SWARM\ -> Settings
-> motorsp[Link]\Program Files\Gaming MouseV30 -> [Link]
-> marsgaming: C:\Program Files (x86)\Gaming Mouse\Config ( Revisa la fecha de
modificación del
archivo config )
-> blackweb: C:\Blackweb Gaming AP\config -> .MA32AIY
-> ayax: C:\Program Files\AYAX GamingMouse -> [Link]
---------- Links para descargar los programas de esta guía ----------
https/[Link]/Zack-src/Service-Execution/releases/tag/1.0
https/[Link]/kacos2000/Win10LiveInfo/releases/download/v.[Link]/
[Link]
https/[Link]/utils/[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
[Link]
--------- Funcion de los servicios ---------
- Sysmain: encargado del prefetch
- BAM: muestra archivos ejecutados, junto con su horario de ejecución
- Dps: es el servicio encargado de almacenar los eventos que involucran
aplicaciones
- AppInfo: Este mostrará logs de aplicaciones ejecutadas con permisos de
administrador.
Quedan algunas servicios por decir.