침해사고 아티팩트 수집
1. process
2. eventlog
3. mft
4. prefetch
5. pefile
6. memory dump
7. browser
8. persistence
tasklist /SVC
touch tasklist.txt | findstr svchost
processexp -> select columns -> verified signer, version, image path, command line, integrity level
<pslist>
explorer.exe -> cmd.exe -> powershell.exe 이게 아니면 이상!
<LOL>
pslist에서 찾기
port : local, report가 모두 well-known port가 아니면 이상..!오후 4:21 2024-04-15
tasklist /SVC | findstr svchost | findstr SysMain -> prefetch 데몬 돌고 있음!
'포렌식' 카테고리의 다른 글
| (KISA) 실습 1 (0) | 2024.04.18 |
|---|---|
| (KISA) 강의 1 (0) | 2024.04.18 |