工件分析

Q: 工件分析 是什么?

对操作系统和应用程序在使用过程中遗留的数字痕迹进行检查,以重建用户行为、程序执行和攻击者活动。 它属于网络安全的 取证与应急响应 分类。

Q: 如何防御 工件分析?

针对 工件分析 的防御通常结合技术控制与运营实践,详见上方完整定义。

审核人Florian AmetteCybersecurity entrepreneur & security researcher

工件分析是什么?

工件分析对操作系统和应用程序在使用过程中遗留的数字痕迹进行检查,以重建用户行为、程序执行和攻击者活动。

工件分析关注操作系统和应用程序在正常使用中产生的持久性和易失性残留,包括 Prefetch、ShimCache、AmCache、跳转列表、LNK 文件、浏览器历史、回收站、Windows 事件日志、journald 等。每一种工件都能回答特定的证据问题,例如某二进制是否被执行,或者用户打开了哪些文件。分析师使用 KAPE、Velociraptor 或 FTK Imager 进行采集,并借助 EZ Tools、Plaso 或 Autopsy 解析。由于 Windows、macOS 和 Linux 的工件格式与保留期不同,解读时必须结合具体操作系统版本。

● 示例

01
解析 Windows Prefetch,证明某个被重命名的恶意样本在一台工作站上执行了两次。
02
查看 ShellBags 以确认攻击者浏览过敏感的共享目录。

● 常见问题

工件分析是什么?

对操作系统和应用程序在使用过程中遗留的数字痕迹进行检查,以重建用户行为、程序执行和攻击者活动。它属于网络安全的取证与应急响应分类。

工件分析是什么意思?

对操作系统和应用程序在使用过程中遗留的数字痕迹进行检查,以重建用户行为、程序执行和攻击者活动。

如何防御工件分析?

针对工件分析的防御通常结合技术控制与运营实践,详见上方完整定义。

工件分析还有哪些其他名称?

常见的别称包括: 取证工件分析, 主机工件分析。

工件分析

工件分析是什么?

● 示例

● 常见问题

● 相关术语

● 另见

工件分析 是什么?

● 示例

● 常见问题

● 相关术语

● 另见

工件分析是什么?