iT邦幫忙

2022 iThome 鐵人賽
0
Security

none系列 第 34

3-3 DFIR - Velociraptor-3

14th鐵人賽
972 瀏覽

  • 分享至 

  • xImage
    •  

實作

參考https://samsclass.info/152/proj/IR372.htm

Windows
於虛擬機下載模擬惡意程式pup4.zip
安裝 Microsoft Visual C++ 2015 Redistributable Update 3 RC X86

以管理員身份運行 pup4.exe
將 pup4message.exe 移動到 C:
刪除 pup4.zip 和 pup4 文件夾。清空資源回收桶。
重開機後看到視窗跳出Your Machine is pwned!

Velociraptor Web
搜尋all後,挑選主機點collected
https://ithelp.ithome.com.tw/upload/images/20221019/200777528hmBfqXxoL.png

點選左上加號,跳出一個頁面(New Collection: Select Artifacts to collect)
https://ithelp.ithome.com.tw/upload/images/20221019/20077752p2xz8A1t1N.png
輸入Windows.Sysinternals.Autoruns後,點下面Launch
https://ithelp.ithome.com.tw/upload/images/20221019/20077752V3uvmMns2o.png

Server 要能連外網,不然再下載程式會失敗
Error: Get "https://live.sysinternals.com/tools/autorunsc.exe": dial tcp: lookup live.sysinternals.com: Temporary failure in name resolution

遇到一些問題資料跑不出來,就先用手動方式,用Autoruns開啟來看,這步驟是在查開機啟動是否被駭客加進他的惡意程式

C:\autorunsc64.exe -nobanner -accepteula -t -a * -c *

https://ithelp.ithome.com.tw/upload/images/20221019/200777526vLjmiDv6j.png

https://ithelp.ithome.com.tw/upload/images/20221019/20077752QSUn4QLbmh.png

REF

https://samsclass.info/152/proj/IR372.htm


上一篇
3-2 DFIR - Velociraptor-2
下一篇
3-4 Investigating Windows Systems
系列文
none36
  1. 32
    3-1 DFIR - Velociraptor
  2. 33
    3-2 DFIR - Velociraptor-2
  3. 34
    3-3 DFIR - Velociraptor-3
  4. 35
    3-4 Investigating Windows Systems
  5. 36
    3-5 Investigating Windows Systems-2
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22198
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙