Forensic Analysis: Creating User GUI vs CLI


This is my first forensic analysis post in English; as I’m sure you noticed by now that all of it is in Arabic; so excuse me for my bad English :)

The whole idea came out when @azeemnow asked the #DFIR community the following:
how can you tell the difference between a Windows account created from cmdline vs GUI interface?
Found here: URL

I tried to help by giving ideas, but it seems they didn’t help solve the case! So I said to myself why not replicate the process and do some checks!

Actions below done not in exact listed order (more later)!!!
1- Started a cmd.exe with Administration priveleges, and executed:
net user cmduser cmduser /add
2- From the Windows Control Panel and using the User Account applet, I added a user named guiuser.

Now; the first idea I had in mind is I thought that checking the system logs alone was enough to find clues about the exact location of execution & creation. I was wrong about that! Both log entries showed no difference at all except the username for sure :)
Continue reading

الجزء السادس من محاضرات HTID

هذا هو الجزء السادس من محاضرة الأسبوع الماضي، والذي كان حول Post Exploitation سواءاً Linux أو Windows … هذا كان الجانب النظري … الجانب العملي سيتم سيتم إنهائه يوم الثلاثاء القادم إن شاء الله … حيث ستكون مع محاضرة الـ Metasploit التي أضطررنا الى تأجيلها للثلاثاء (محاضرة إضافية) بسبب مناقشة أعمال الطلبة … المحاضرة أعطت فكرة عن العديد من الزوايا الخاصة بالـ Post Exploitation وأين تقوم بالبحث عن المعلومات وما هي المعلومات المهمة التي يجب البحث عنها الى آخره من الأمور … أتمنى أن تكون مفيدة لكم …

تجدونها في صفحة المحاضرات هنا