Криминалистика в современном мире. Дело о фантомном...
-
Upload
risclubspb -
Category
Education
-
view
172 -
download
0
Transcript of Криминалистика в современном мире. Дело о фантомном...
Запуск приложений с Prefetch
• Имя файла записывается в формате C:\WINDOWS\Prefetch
• NOTEPAD.EXE-AF43252301.PF
Имя исполняемого
файла
Хэш из данных EXE и
аргументов командной
строки
Расширение
Prefetch файлов
Для одного того же EXE будут создаваться разные PF файлы в
зависимости от параметров передаваемых в командной строке
Feature Location
Temporary Internet Files C:\Users\user\AppData\Local\Microsoft\Windows\
Temporary Internet Files\Content.IE5
Cookies C:\Users\user\AppData\Roaming\Microsoft\Windows\
Cookies
Visited C:\Users\<user>\AppData\Local\Microsoft\Windows\
History\History.IE5\MShist01<date>
History C:\Users\user\AppData\Local\Microsoft\Windows\
History\History.IE5
Идентифицируете важные системы. Проводите регулярный аудит этих систем
Ограничьте набор запускаемых приложений с помощью Applcoker или SRP
Ограничьте права стандартного пользователя
Включите Volume Shadow Copy Придерживайтесь рекомендаций вендора системы в сфере ИБ
E-mail:
Twitter:
@abeshkov