1.マルウェアを探す(Rev.20160527) 署名がない実行ファイル タイムスタンプ リンク日時 タイムスタンプ 関連ファイルのパス 実行ファイルのパス タスクスケジューラー 最終実行日時、回数 プリフェッチファイルの作成・更新日時 登録されている実行ファイル デジタル署名の失効確認 不審な実行ファイル 1.自動実行を確認 プリフェッチファイル 不審なDLLファイル プリフェッチファイルのカービング 実行ファイルのパス プログラムのパス レジストリ ShellBag 実行ファイルのパス MUICache 実行ファイルのパス 実行ファイルのパス ファイルの最終更新日時 登録されている実行ファイル テンポラリフォルダ 既存ファイルのスキャン Application Compatibility Cache 削除ファイルのスキャン ウイルススキャン タスクの登録・実行痕跡 NextAtJobId SYSTEM 隔離ファイルの確認 カービングによる削除ファイルの復元 ウイルス対策ソフトのログ IOCを利用したスキャン 2.実行形式ファイルの探索 レジストリ CurrentControlSet\services\Schedule インシデント発生日時近辺で作成・更新されたファイル nextatjobid RASAPI32.dll / RASMANCS.dll を利用 SOFTWARE\Wow6432Node\Microsoft\Tracing ( SOFTWARE ) メモリ タイムスタンプが改ざんされていないか ファイルシグネチャの確認 拡張子が偽装されている SOFTWARE\Microsoft\Tracing\【プログラム名(拡張子なし)】_RASAPI32 PEヘッダ EXEイメージの抽出 リンク日時(コンパイル日時) procdump https://msdn.microsoft.com/ja-jp/library/cc776583(v=ws.10).aspx tracing 5.実行痕跡の調査 削除キーの復元 ハイブの取り出し hivedump 実行ファイルのパス ジョブファイル $I、$Rファイル メモリ タスクスケジューラ ディレクトリエントリ FAT/exFAT イベントログ UsnJrnl カービング ログオン・ログオフスクリプト pslist consoles カービング シグネチャベース ブロックハッシュ 親子関係 実行日時 netscan cmdscan カービング $Logfile WMI-Activity psscsn ディレクトリエントリのカービング 実行内容 ユーザーの操作記録 $SIA プロセス MFT 通信先 メモリ 4.実行形式ファイル本体の調査 タイムスタンプ F/W ログ 通信ログ DNSログ Copyright © LAC Co., Ltd. All Rights Reserved. $I30(INDX) UsnJrnl $Logfile FAT/exFAT プロキシログ IDS/IPSログ $FILE_NAME NTFS コマンドライン 監視ツールのログ ログ ボリューム内 メモリ、Pagefile.sys VSS(以前のバージョン) NTFS PowerShell pstree MFTレコード MFT 3.存在痕跡(削除ファイル)の調査 実行日時 実行ファイルのパス ゴミ箱 セキュリティ id 4688 実行日時 タイムスタンプ 登録されている実行ファイル マルウェアが利用する既知のパス usrclass.dat ShellBag 自動起動用キー(Run等) サービス NTUSER.DAT 実行ファイルのパス Plug-Xタイプ キーの最終更新日時 SuperFetch UserAssist 最終実行日時、回数 VirusTotalの検知確認(ハッシュ値) ディレクトリエントリ $FILE_NAMEの確認 上位フォルダのタイムスタンプ
© Copyright 2024 ExpyDoc
