| Объект | Где искать | Что проверять / зачем |
|---|---|---|
| Timeline событий | log2timeline + Plaso, журнал событий, bash history | Что происходило и когда. Особенно после инцидента |
| Запуски программ | Prefetch (Windows), .bash_history | Что запускалось, когда, кем |
| Автозагрузка | Реестр Windows, systemd | Что стартует автоматически: бэкдоры, вредоносы |
| Файлы последнего доступа | $MFT, atime, bash history | Какие документы и когда открывались |
| Удалённые файлы | Recycle Bin, Trash, карвинг | Что пытались скрыть или уничтожить |
| Активность браузеров | Кеши Chrome, Firefox, cookies | Посещённые сайты, сессии, логины |
| Работа с USB | Реестр (Windows), dmesg, journalctl | Когда и что подключалось |
| Сетевые подключения | Netstat, iptables, Sysmon | Куда шли соединения, обратные шеллы |
| Логи ОС | EventLogs, /var/log | Ошибки, входы, действия в системе |
| Учётные записи | SAM, /etc/passwd, /etc/shadow | Новые пользователи, sudo-доступ |
| Документы MS Office | RecentDocs, TMP-файлы | Что юзер читал/редактировал недавно |
| Источник | Почему важно |
|---|---|
| LNK-файлы (ярлыки) | Показывают путь, имя диска, дату запуска — даже если файл удалён |
| Thumbcache и Iconcache | Содержат превью удалённых или спрятанных файлов |
| Jump Lists | История запуска файлов через приложения: Word, Notepad и др. |
| Shellbags | Какие папки открывались в проводнике, включая на флешках |
| SRUM | Таймстемпы использования приложений. Журнал, который не чистят |
| Pagefile и hiberfil.sys | Кладезь утёкших фрагментов памяти: документы, логины, чаты |
| AmCache | Показывает, какие программы были установлены/запущены |
| SQLite-кеши | Telegram, Discord, браузеры — все оставляют следы в .sqlite |
| История sudo | Прямой доступ к trace активности root-пользователя |
| desktop.ini и .directory | Могут содержать старые названия папок или ярлыки |
| $LogFile и $UsnJrnl (NTFS) | Журналы, из которых можно узнать: когда что удалили/создали |
| Память браузеров | Может содержать незашифрованные пароли и JWT-сессии |
| Clipboard history | Часто забывают: здесь бывает текст паролей и ключей |