0

感染している可能性のある Windows PC で侵害の痕跡 (IoC) を探したいと考えています。

分析に必要な情報を記録するバッチ スクリプトを作成しています。次の CMD コマンドが含まれます。

time /T
date /T
whoami 

systeminfo

net user 
dir /a "C:\Users\" 
net localgroup administrators 
net group administrators 

net start
schtasks  
tasklist  
tasklist -svc  
tasklist -v  
wmic process list full 
wmic product get name

  • 他に何を探すべきですか?


  • スクリプトは、「Network Artifacts」、「Processes & Services」、「Machine Info」などのディレクトリで区切られたコマンドごとに新しいファイルを作成する方法で記述されます
    。スクリプトを改善するにはどうすればよいですか?

  • この段階でレジストリとメモリのダンプを取ることをお勧めしますか?

4

2 に答える 2

1

私はあなたのサービスも見てみたいと思います:

wmic service list brief
wmic service list full

登録キー:

reg query HKLM\Software\Microsoft\Windows\CurrentVersion\Run
reg query HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

検索できるものは他にもたくさんあります (特定の ID を持つ Windows イベント ログ、最近 c:\windows および c:\windows\system32 フォルダーに追加された項目など)。おそらく、それらのディレクトリと既知の適切なディレクトリとのハッシュ比較です。州)。これを PowerShell スクリプトに展開すると、さらに多くのことが得られると思います。

メモリ キャプチャはいつでも実行できます。マシンに大きなフットプリントを残さないように、できるだけ早くこれらを実行することをお勧めします。

于 2015-08-23T19:28:43.833 に答える