Интернетмагазин

Download 18,66 Mb.

Pdf ko'rish

bet	210/272
Sana	25.02.2022
Hajmi	18,66 Mb.
	#290514

1 ... 206 207 208 209 210 211 212 213 ... 272

Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

Ключевые артефакты
В настоящее время доступно такое количество данных, что при их сборе сле-
дует сосредоточиться на получении только жизненно важных и значимых ар-
тефактов из системы, выбранной в качестве цели. Большее количество дан-
ных вовсе не обязательно означает лучшее расследование, главным образом
потому, что в некоторых случаях все еще необходимо выполнять корреляцию
данных, а их слишком большое количество может увести вас от основной при-
чины проблемы.
Имея дело с расследованием для глобальной организации, у которой есть
устройства, распределенные по разным регионам планеты, важно убедиться,
что вы знаете часовой пояс системы, которую исследуете. В системе Windows
эта информация находится в ключе реестра HKEY_LOCAL_MACHINE\SYSTEM\Current-
ControlSet\Control\TimeZoneInformation
. Вы можете использовать команду Power-
Shell Get-ItemProperty, чтобы получить эту информацию из системы (рис. 13.1).
Рис. 13.1
Обратите внимание на значение TimeZoneKeyName: Central Standard Time. Эти
данные будут актуальны, когда вы приступите к анализу файлов журналов
и выполнению корреляции данных. Еще один важный ключ реестра для по-
лучения информации о сети: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\NetworkList\Signatures\Unmanaged
and Managed. Эти разделы покажут
сети, к которым был подключен данный компьютер. Результат ключа unmanaged
показан на рис. 13.2.

Масштаб проблемы 

251
Рис. 13.2
Эти два артефакта важны для определения местоположения (часового
пояса) компьютера и сетей, которые он посетил. Это еще более важно для
устройств, используемых сотрудниками для работы вне офиса, таких как ноут-
буки и планшеты. В зависимости от проблемы, которую вы исследуете, также
важно проверить применение USB-устройств на этом компьютере. Для этого
экспортируйте ключи реестра HKLM\SYSTEM\CurrentControlSet\Enum\USBSTOR и HKLM\
SYSTEM\CurrentControlSet\Enum\USB
. Пример того, как выглядит этот ключ, показан
на рис. 13.3.
Рис. 13.3
Чтобы определить, существует ли какое-либо вредоносное программное
обеспечение, настроенное для запуска одновременно с Windows, просмотри-
те раздел реестра HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Run.
Обычно, когда там появляется вредоносная программа, она также созда-
ет службу; поэтому также важно просмотреть раздел HKEY_LOCAL_MACHINE\SYSTEM\
CurrentControlSet\Services
. Ищите службы со случайными именами и записи,
которые не являются частью шаблона профиля компьютера. Еще один способ
получить эти службы – запустить утилиту msinfo32 (рис. 13.4).

Download 18,66 Mb.

Do'stlaringiz bilan baham:

1 ... 206 207 208 209 210 211 212 213 ... 272