Monthly Archives: April 2019

forensic要素初探

0x00 背景

最近做了一些forensic的调查,随便写一下,随时补充。

0x01 Windows

持久化:

  1. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
  2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\
  3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks{xxxxxxx-xxxx-xxxx-AD98-xxxxxxxxxx}

在驱除病毒时,往往仅删除了病毒的注册表文件还不够,需要重启电脑。或者使用命令行删除计划任务或者服务:

sc delete ServiceName
schtasks /delete /tn TaskName

Continue reading