A. Forensic Notes - Scan eventviewer

1. Scan via Hayabusa

.\hayabusa-3.1.1-win-x64.exe csv-timeline -d "(directory path log berada)" -o "(directory penyimpanan untuk output csv nya)" -H "(directory penyimpanan untuk output html mya)"

2. Jika file corrupt via Hayabusa, bisa menggunakan Evetxcmd (sesuaikan jam yang ada di powershell atau cmd)

EvtxECmd.exe -f "(Directory path log nya berada)"--csv "(directory penyimpanan output csv nya)"

2.1 Filter application menggunakan Evtxcmd

EvtxECmd.exe -f "$source\Application.evtx" --csv "(Directory penyimpanan untuk csv)" --csvf app_tvn.csv --providers "tvnserver"

B. Forensic Notes - Persiapan Execution di windows

3. Eksekusi script tanpa blockir

Set-ExecutionPolicy -ExecutionPolicy Bypass -Scope CurrentUser -Force

4. Eksekusi script untuk melihat tipe statistik

$source="(Folder dimana logs nya tersimpan)" Get-WinEvent -FilterHashtable @{ Path="$source\Security.evtx"; Id=4624 } | Group-Object { $_.Properties[8].Value } | Select Count, Name

5. Untuk Detail login sukses

Get-WinEvent -FilterHashtable @{ Path="$source\Security.evtx"; Id=4624 } | Where-Object { $.Properties[8].Value -in 2,3 } | Select TimeCreated, @{Name='LogonType';Expression={$.Properties[8].Value}}, @{Name='Account';Expression={$.Properties[5].Value}}, @{Name='SourceIP';Expression={$.Properties[18].Value}}

6. Untuk login gagal

Get-WinEvent -FilterHashtable @{ Path="$source\Security.evtx"; Id=4625 } | Group-Object { $_.Properties[19].Value } | Sort Count -Descending | Select Count, Name

7. Untuk mengetahui system pada PC

Get-WinEvent -Path "$source\System.evtx" | Select-Object TimeCreated, Id, ProviderName,Message| Sort-Object TimeCreated |Export-Csv -Path ".\system.csv" -NoTypeInformation

8. Untuk mengetahui aplikasi yang ter-install

Get-WinEvent -Path "$source\Application.evtx" | Select-Object TimeCreated, Id, ProviderName,Message| Sort-Object TimeCreated |Export-Csv -Path ".\app.csv" -NoTypeInformation

9. Untuk filter cari file user dan atau password di suatu directory

Get-ChildItem -Recurse -Filter passwd Get-ChildItem -Recurse -Path . -Include user,passwd

Name		Name	Last commit message	Last commit date
Latest commit History 2 Commits
README.md		README.md

Provide feedback

Saved searches

Use saved searches to filter your results more quickly

Repository files navigation

A. Forensic Notes - Scan eventviewer

1. Scan via Hayabusa

2. Jika file corrupt via Hayabusa, bisa menggunakan Evetxcmd (sesuaikan jam yang ada di powershell atau cmd)

2.1 Filter application menggunakan Evtxcmd

B. Forensic Notes - Persiapan Execution di windows

3. Eksekusi script tanpa blockir

4. Eksekusi script untuk melihat tipe statistik

5. Untuk Detail login sukses

6. Untuk login gagal

7. Untuk mengetahui system pada PC

8. Untuk mengetahui aplikasi yang ter-install

9. Untuk filter cari file user dan atau password di suatu directory

About

Uh oh!

Releases

Packages

Uh oh!

Contributors

Uh oh!

Folders and files

Latest commit

History

Repository files navigation

A. Forensic Notes - Scan eventviewer

1. Scan via Hayabusa

2. Jika file corrupt via Hayabusa, bisa menggunakan Evetxcmd (sesuaikan jam yang ada di powershell atau cmd)

2.1 Filter application menggunakan Evtxcmd

B. Forensic Notes - Persiapan Execution di windows

3. Eksekusi script tanpa blockir

4. Eksekusi script untuk melihat tipe statistik

5. Untuk Detail login sukses

6. Untuk login gagal

7. Untuk mengetahui system pada PC

8. Untuk mengetahui aplikasi yang ter-install

9. Untuk filter cari file user dan atau password di suatu directory

About

Resources

Uh oh!

Stars

Watchers

Forks

Releases

Packages 0

Uh oh!

Contributors

Uh oh!

Packages