ETW 取证 - 为什么使用 Windows 事件跟踪而不是 EventLog?
文章指出了 Windows 操作系统日志中的 EventLog 在调查恶意软件感染等安全事件时的局限性,可能无法提供足够的信息。随后介绍了 ETW(Event Tracing for Windows),这是一种可以记录内核和进程生成的事件的系统,用于调试和性能监视,同时也被用于 EDR 产品和防病毒软件的检测逻辑。ETW 能够默认记录操作系统中的各种行为作为事件,因此比 EventLog 提供更多的信息。文章还探讨了如何在没有文件签名的情况下从磁盘或内存中恢复 ETW 事件,并提供了一种从内存映像中恢复 ETW 事件的方法。作者开发了一个名为 etw-scan 的 Volatility3 插件,用于从内存映像中恢复 ETW 事件,并提供了该插件的 GitHub 链接。
https://blogs.jpcert.or.jp/en/2024/11/etw_forensics.html
文章指出了 Windows 操作系统日志中的 EventLog 在调查恶意软件感染等安全事件时的局限性,可能无法提供足够的信息。随后介绍了 ETW(Event Tracing for Windows),这是一种可以记录内核和进程生成的事件的系统,用于调试和性能监视,同时也被用于 EDR 产品和防病毒软件的检测逻辑。ETW 能够默认记录操作系统中的各种行为作为事件,因此比 EventLog 提供更多的信息。文章还探讨了如何在没有文件签名的情况下从磁盘或内存中恢复 ETW 事件,并提供了一种从内存映像中恢复 ETW 事件的方法。作者开发了一个名为 etw-scan 的 Volatility3 插件,用于从内存映像中恢复 ETW 事件,并提供了该插件的 GitHub 链接。
https://blogs.jpcert.or.jp/en/2024/11/etw_forensics.html
JPCERT/CC Eyes
ETW Forensics - Why use Event Tracing for Windows over EventLog? - - JPCERT/CC Eyes
Many people may think of EventLogs when one mentions Windows OS logs. When investigating incidents such as malware infections, it is common to analyze the Windows OS EventLogs to find traces that may help uncover the incident. However, since the...
👍1
PowerHuntShares 2.0 帮助网络安全团队和渗透测试人员更好地识别、理解、攻击和修复他们所保护的 Active Directory 环境中的 SMB 共享。每个黑客都有一个关于滥用 SMB 共享的故事,但这是网络安全团队仍然难以防御的攻击面。该项目旨在提供一个开放的概念验证工具,用于创建全面的共享清单,利用统计数据、图表、图形和语言模型来了解共享的背景、总结关系、评估风险并确定修复的优先级。
https://github.com/NetSPI/PowerHuntShares
https://www.netspi.com/blog/technical-blog/network-pentesting/powerhuntshares-2-0-release/?utm_source=organic_social&utm_medium=organic_social&utm_campaign=tech_blog&utm_term=powerhuntshares-2.0
https://github.com/NetSPI/PowerHuntShares
https://www.netspi.com/blog/technical-blog/network-pentesting/powerhuntshares-2-0-release/?utm_source=organic_social&utm_medium=organic_social&utm_campaign=tech_blog&utm_term=powerhuntshares-2.0
GitHub
GitHub - NetSPI/PowerHuntShares: PowerHuntShares is an audit script designed in inventory, analyze, and report excessive privileges…
PowerHuntShares is an audit script designed in inventory, analyze, and report excessive privileges configured on Active Directory domains. - NetSPI/PowerHuntShares
什么是预测性防御?
预测性防御是一种利用数据分析和结构化分析技术来预测未来威胁并提前准备应对措施的网络安全策略,它超越了传统的反应式防御方法,通过解决 “何时、何地和如何” 的不确定性,帮助组织更有效地应对网络攻击。
https://blog.predictivedefense.io/p/what-is-predictive-defense
个人观点:在国内活不下来。
预测性防御是一种利用数据分析和结构化分析技术来预测未来威胁并提前准备应对措施的网络安全策略,它超越了传统的反应式防御方法,通过解决 “何时、何地和如何” 的不确定性,帮助组织更有效地应对网络攻击。
https://blog.predictivedefense.io/p/what-is-predictive-defense
个人观点:在国内活不下来。
blog.predictivedefense.io
What is Predictive Defense?
Predictive Defense is a concept that seeks to anticipate future threats using data analysis and structured analytical techniques.
👍2❤1
Chainsaw 是一个强大的 Windows 取证工具,帮助安全专家迅速识别 Windows 取证工件中的威胁,如事件日志和 MFT 文件。
https://github.com/WithSecureLabs/chainsaw#start-of-content
https://github.com/WithSecureLabs/chainsaw#start-of-content
GitHub
GitHub - WithSecureLabs/chainsaw: Rapidly Search and Hunt through Windows Forensic Artefacts
Rapidly Search and Hunt through Windows Forensic Artefacts - WithSecureLabs/chainsaw
本文深入探讨了API安全的概念、面临的威胁以及通过API网关实现安全防护的策略,强调了集中管理身份验证、实施速率限制和持续监控等最佳实践的重要性,并指出了在系统和API层面采取综合安全措施的必要性,以确保数据安全和系统完整性。
https://mp.weixin.qq.com/s/uV2lmUHtMp3LRpFKHm6A7w
https://mp.weixin.qq.com/s/uV2lmUHtMp3LRpFKHm6A7w