มีโฟลเดอร์ที่มีไฟล์ *.exe ที่น่าสงสัยบนพีซี Win 10 และมีโปรโตคอล (ภายนอก) ที่อาจเป็นไปได้ การกระทำที่ผิดกฎหมาย มาจากพีซีเครื่องนั้นในช่วงเวลาหนึ่งในอดีต การกระทำที่น่าสงสัยอย่างแรกคือการรับส่งข้อมูลเครือข่ายไปยัง หลุมลึก ที่อยู่ IP โดยทั่วไปสำหรับ ฮูปิกอน โทรจันคนที่สอง (หลายวันต่อมา) กำลังโพสต์การพยายามหลอกลวงบนแพลตฟอร์มการค้าทางอินเทอร์เน็ต
พีซีที่มีปัญหาได้รับ ปิดอยู่ เพียงแค่ดึงสายไฟหลังจากสังเกตเห็นการดำเนินการครั้งที่สองไม่นาน
หลังจากนั้นไม่นานพีซีก็ ถูกยึด โดยหน่วยงานท้องถิ่น (ซึ่งได้รับแจ้งเกี่ยวกับการดำเนินการครั้งที่สองโดยผู้ที่อาจตกเป็นเหยื่อของการหลอกลวง)
ก ภาพที่บูตได้ ของพีซีที่มีอยู่ซึ่งถูกดึงออกจากไดรฟ์ C: หลังจากการปิดระบบอย่างหนักอิมเมจได้รับการบูทบนพีซีที่คล้ายกันแล้ว การสแกน Trendmicro AV และการตรวจสอบ Virustotal ที่ตามมาได้เปิดเผย (เท่านั้น) ดังต่อไปนี้
ผลการสแกน Trendmicro AV:
โฟลเดอร์ "Proxygate" พร้อมไฟล์ปฏิบัติการ:
คืออะไร PUP-Proxygate ("โปรแกรมที่อาจไม่เป็นที่ต้องการ")
ฉันติดเชื้อแอดแวร์ ProxyGate ได้อย่างไร
เอกสารทางอินเทอร์เน็ต http://proxygate.net
นอกจากนี้ ฉันได้เรียกใช้การสแกนระบบอย่างสมบูรณ์ของอิมเมจไดรฟ์ระบบของพีซีที่เป็นปัญหาโดยใช้ ชุดชันสูตรพลิกศพ/ชุดสืบสวน. อย่างไรก็ตาม ฉันไม่มีประสบการณ์เกี่ยวกับการวิเคราะห์เพิ่มเติมโดยใช้การชันสูตรพลิกศพ และต้องการความช่วยเหลือว่าควรเริ่มจากตรงไหน:
ฉันมีดังต่อไปนี้ รายการรหัสเหตุการณ์ ตามที่ บริษัท รักษาความปลอดภัย AV บางแห่งควรตรวจสอบในตัวแสดงเหตุการณ์ภายใต้เหตุการณ์ "ความปลอดภัย":
1006, 1007, 1125, 4624, 4625, 4634, 4648, 4670, 4672, 4672, 4688, 4704, 4720, 4722, 4725, 4726, 4728, 4731, 4732, 4733, 4735, 4740, 4756, 4765, 4766, 4767, 4776, 4781, 4782, 4793, 5376, 5377
มีวิธีอื่นในการค้นหาว่าไฟล์ exe ที่น่าสงสัยใดๆ เปิดใช้งานอยู่หรือไม่ และถ้ามี ไฟล์นั้นกำลังทำอะไรอยู่ (เช่น การเปิดไฟล์ การเข้าถึงที่อยู่อินเทอร์เน็ต เป็นต้น)
อีกทางหนึ่ง มีวิธีดูการทำงานของโปรแกรมใดๆ ตามเวลาที่กำหนดหรือไม่ (นอกเหนือจากการค้นหา Event Viewer)
ถ้าต้องถาม..ก็ มันคงไม่เพียงพอ เพื่อตอบคำถามที่น่าสนใจ:
มีหลายวิธีในการตั้งค่าระบบเพื่อให้สตรีมเหตุการณ์ที่เกี่ยวข้องในปริมาณที่พอเหมาะไปยังตำแหน่งที่ปลอดภัย (เช่น บันทึกไม่สามารถแก้ไขย้อนหลังได้) โดยทั่วไปแล้วจะเกี่ยวข้องกับบางอย่างเช่น ซิสมอน.
หากคุณไม่มีอาการดังกล่าวในเวลาที่สงสัย ก็ยังมีโอกาสเกิดขึ้น บาง จำนวนหลักฐานที่เป็นประโยชน์เกี่ยวกับระบบที่ได้รับผลกระทบเอง ขึ้นอยู่กับสภาพแวดล้อมของคุณและทักษะและความตั้งใจของผู้ประสงค์ร้าย ทางออกที่ดีที่สุดของคุณอาจเป็นอย่างใดอย่างหนึ่ง
การตัดสินใจที่ยากที่สุดโดย a ผู้เชี่ยวชาญด้านนิติวิทยาศาสตร์. คุณอาจต้องการทำสัญญาอยู่ดี เพราะเมื่อคุณค้นพบรายละเอียดเพิ่มเติมเกี่ยวกับเหตุการณ์นี้ อาจต้องใช้ขั้นตอนหรือทักษะที่คุณอาจไม่คุ้นเคย.
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
