Win 10 PC 上有一个包含可疑 *.exe 文件的文件夹,并且存在潜在的(外部)协议违法行为来自该 PC 在过去的某个时间。第一个可疑动作是到天坑典型的 IP 地址胡皮贡木马,第二条帖子(几天后)在互联网商务平台上发布了试图诈骗的帖子。
有问题的 PC 已已关闭只需在注意到第二个动作后不久拉动电源线即可。
不久之后,PC扣押当地政府(他们已获悉骗局潜在受害者的第二次行动)
A可启动映像PC 的硬关机后,C: 驱动器中存在该映像。该映像已在类似的 PC 上启动。Trendmicro AV 扫描和随后的 Virustotal 检查显示(仅有的) 下列。
Trendmicro AV 扫描结果:
包含可执行文件的“Proxygate”文件夹:
此外,我还对相关 PC 的系统驱动器映像进行了完整的系统扫描,使用尸检/侦探工具包。但是,我没有使用 Autopsy 进行进一步分析的经验,需要帮助从哪里开始:
我有以下内容事件 ID 列表根据一些 AV 安全公司的说法,应该在事件查看器中的“安全”事件中进行检查:
1006, 1007, 1125, 4624, 4625, 4634, 4648, 4670, 4672, 4672, 4688, 4704, 4720, 4722, 4725, 4726, 4728, 4731, 4732, 4733, 4735, 4740, 4756, 4765, 4766, 4767, 4776, 4781, 4782, 4793, 5376, 5377
还有其他方法可以查找任何可疑的 exe 文件当时是否以任何方式处于活动状态,如果是,那么它在做什么(例如打开文件、访问互联网地址等)?
或者,有没有办法查看特定时间任何程序的任何操作(除了搜索事件查看器)?
答案1
如果你不得不问..那么这可能还不够回答有趣的问题:
- 其他系统是否也受到损害?
- 如何以及何时原来的在引起您怀疑的特定事件发生之前,是否发生过妥协?
当然,有办法设置系统,以便它们将大量相关事件传输到安全位置(以便日志无法被追溯修改),通常涉及类似系统监控。
如果你在怀疑的时候没有这样做,那么仍然有可能一些受影响系统本身的有用证据数量。根据您的环境以及恶意方的技能和意图,您最好的选择可能是以下之一
- 关闭机器以防止证据被毁坏或者
- 防止关闭机器,以防止证据被毁灭。
艰难的决定最好由法医专家你可能还是想感染这种病毒,因为当你发现有关此事件的更多细节时,它可能需要你不熟悉的程序或技能。