ハッキングされたコンピューター(マルウェアはインストールされておらず、システムハックのみ)のインシデント対応計画を作成する準備をしています。私の計画は、Windowsイベントビューアで分析して、マシンの異常な動作を検出しようとすることです。
ただし、ハッカーがログファイルの内容を変更したか、時間を変更した場合、Windowsイベントビューア以外のIRPを開発するための代替ルートは何ですか?
私はかつて同様のタスクを持っていて、 Nirsoft Mega Report を見つけました。 NirSoft ユーティリティのいくつかを組み合わせています。単一のレポートはたくさんありますが、完全なタイムラインではないので、あまり役に立ちませんでした。
2014年の終わりに、私はNirSoftツールを使用して無人モードで実行し、XMLにエクスポートすることで、自分でそれを実現しようとしました。そのために私が検討したツールは
これらすべてのXMLから、完全なタイムラインを構築しようとしました。私は「試した」と言います、なぜなら
それでも、これらすべてのレポートが役立つ場合があります。
法医学的なことを行う場合は、次の基本的なルールを考慮してください。