web-dev-qa-db-ja.com

Windowsイベントビューア以外のインシデントレスポンスアプローチの代替ルート?

ハッキングされたコンピューター(マルウェアはインストールされておらず、システムハックのみ)のインシデント対応計画を作成する準備をしています。私の計画は、Windowsイベントビューアで分析して、マシンの異常な動作を検出しようとすることです。

ただし、ハッカーがログファイルの内容を変更したか、時間を変更した場合、Windowsイベントビューア以外のIRPを開発するための代替ルートは何ですか?

3
C.Mann

私はかつて同様のタスクを持っていて、 Nirsoft Mega Report を見つけました。 NirSoft ユーティリティのいくつかを組み合わせています。単一のレポートはたくさんありますが、完全なタイムラインではないので、あまり役に立ちませんでした。

2014年の終わりに、私はNirSoftツールを使用して無人モードで実行し、XMLにエクスポートすることで、自分でそれを実現しようとしました。そのために私が検討したツールは

  • AppCrashView(おそらく誰かがアプリケーションのバグを悪用しようとした)
  • JumpListsView(最後に何が行われたかを確認)
  • RecentFilesView(最後に使用されたファイル)
  • UserAssistView
  • BlueScreenView(おそらくカーネルの悪用がブルースクリーンを引き起こした)
  • FirefoxDownloadsView(たぶんいくつかのマルウェアがそこから来た)
  • LastActivityView(最後に何が行われたかを確認)
  • ShellBagsView
  • WinLogOnView(ログオンしたユーザー)
  • BrowsingHistoryView
  • FlashCookiesView
  • MozillaCacheView
  • SkypeLogView
  • WinPrefetchView
  • DevManView(デバイスが接続されていた)
  • IECacheView
  • MyEventViewer(Windowsイベントビューアと同様)
  • TurnedOnTimesView
  • ImageCacheViewer
  • myuninst
  • USBDeview(デバイスが接続されていた)

これらすべてのXMLから、完全なタイムラインを構築しようとしました。私は「試した」と言います、なぜなら

  1. XMLが常に整形式であるとは限らないことがわかりました。バグとして報告しましたが、修正されたかどうかは通知されませんでした。
  2. すべてのツールがXMLエクスポートを提供するわけではありません

それでも、これらすべてのレポートが役立つ場合があります。

法医学的なことを行う場合は、次の基本的なルールを考慮してください。

  1. 法医学的に健全な方法で画像を取得する
  2. その画像のコピーでのみ機能します。元のファイルに取り組んだり、(ステップ1の)法医学的に健全な画像に取り組んだりしないでください。
2
Thomas Weller