Компьютерная криминалистика: дополнительный поиск ВПО при помощи событий Windows Defender

Привет, Хабр! На связи команда uFactor. В этой статье рассмотрим полезный способ поиска ВПО, который может быть дополнением к анализу компьютерных систем при расследовании инцидентов информационной безопасности. Увы, этот способ не всегда эффективен: следы активности Windows Defender, рассматриваемой далее, имеют свойство полностью удаляться — именно поэтому способ может использоваться только в качестве дополнения к основному методу исследования.

Многие используют в своих расследованиях анализ журналов событий Event ID 1116, Event ID 1117 Windows Defender`, а также записи и файлы из карантина. Мы же поговорим о событиях сканирования файлов Windows Defender, которые пользователь скачивает, либо которые по иной причине появились в компьютерной системе.

Артефакты, указывающие на сканирование Windows Defender, хранятся в виде файлов, например: .ProgramDataMicrosoftWindowsDefenderScansHistoryResultsResource{8C9221F8-4026-473E-A0B6-3D6981F102F0}`. В журнале Microsoft-Windows-Windows Defender`вы не увидите событий сканирования, если файл не получил статус вредоносного ПО. Имена файлов имеют вид UUID версии 4 согласно стандарту RFC 4122. Эти имена не несут в себе полезной информации, в отличие, например, от имен UUID версии 1 (анализирующихся в нашей статье «Компьютерная криминалистика. Временные метки и туннелирование NTFS»). Содержимое файлов зашифровано алгоритмом RC4 со следующим ключом:

`0x1E, 0x87, 0x78, 0x1B, 0x8D, 0xBA, 0xA8, 0x44, 0xCE, 0x69, 0x70, 0x2C, 0x0C,

    0x78, 0xB7, 0x86, 0xA3, 0xF6, 0x23, 0xB7, 0x38, 0xF5, 0xED, 0xF9, 0xAF, 0x83,

Источник: Хабрахабр