Анализ артефактов
Что такое Анализ артефактов?
Анализ артефактовИсследование цифровых следов, оставляемых операционными системами и приложениями, для восстановления действий пользователя, запуска программ и поведения злоумышленника.
Анализ артефактов исследует постоянные и временные следы, которые операционные системы и приложения создают в ходе обычной работы: Prefetch, ShimCache, AmCache, jump lists, LNK-файлы, история браузера, корзина, журналы событий Windows, journald и многое другое. Каждый артефакт отвечает на конкретный доказательственный вопрос, например, был ли запущен бинарный файл или какие файлы открывал пользователь. Аналитики собирают артефакты с помощью KAPE, Velociraptor или FTK Imager и анализируют их в EZ Tools, Plaso или Autopsy. Интерпретация зависит от версии ОС: форматы и сроки хранения различаются в Windows, macOS и Linux.
● Примеры
- 01
Разбор Windows Prefetch для подтверждения двух запусков переименованного образца вредоносного ПО на рабочей станции.
- 02
Изучение ShellBags для подтверждения того, что злоумышленник просматривал чувствительную сетевую папку.
● Частые вопросы
Что такое Анализ артефактов?
Исследование цифровых следов, оставляемых операционными системами и приложениями, для восстановления действий пользователя, запуска программ и поведения злоумышленника. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Анализ артефактов?
Исследование цифровых следов, оставляемых операционными системами и приложениями, для восстановления действий пользователя, запуска программ и поведения злоумышленника.
Как защититься от Анализ артефактов?
Защита от Анализ артефактов обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Анализ артефактов?
Распространённые альтернативные названия: Анализ криминалистических артефактов, Анализ артефактов хоста.