Python取证 妥协的指标
危害指标 (IOC) 被定义为“取证数据,其中包括在系统日志条目或文件中发现的数据,用于识别系统或网络上的潜在恶意活动。”
通过监控 IOC,组织可以检测攻击并迅速采取行动,通过在早期阶段阻止攻击来防止此类违规行为的发生或限制损害。
有一些用例允许查询取证工件,例如:
- 通过 MD5 查找特定文件
- 搜索特定实体,该实体实际上存储在内存中
- 特定条目或条目集,存储在 Windows 注册表中
以上所有的组合在搜索工件时提供了更好的结果。如上所述,Windows 注册表为生成和维护 IOC 提供了一个完美的平台,这直接有助于计算取证。
方法
-
在文件系统中查找位置,特别是现在到 Windows 注册表中。
-
搜索由取证工具设计的工件集。
-
寻找任何不利活动的迹象。
调查生命周期
调查生命周期遵循 IOC,它在注册表中搜索特定条目。
-
第一阶段:初步证据 : 在主机或网络上检测到危害的证据。响应者将调查并确定确切的解决方案,这是一个具体的取证指标。
-
第 2 阶段:为主机和网络创建 IOC : 根据收集的数据,创建 IOC,这很容易通过 Windows 注册表实现。 OpenIOC 的灵活性为如何制作指标提供了无限数量的排列。
-
第 3 阶段:在企业中部署 IOC : 一旦创建了指定的 IOC,调查人员将借助 Windows 寄存器中的 API 部署这些技术。
-
第 4 阶段:识别嫌疑人 : IOC的部署有助于以正常方式识别嫌疑人。甚至还会识别其他系统。
-
第 5 阶段:收集和分析证据 : 收集和分析不利于嫌疑人的证据。
-
第 6 阶段:改进和创建新的 IOC : 调查组可以根据他们在企业中发现的证据和数据以及额外的情报创建新的IOC,并不断完善其周期。
下图显示了调查生命周期的各个阶段: