Узнаем, что делал пользователь через дамп реестра

При расследовании компьютерных инцидентов одним из важнейших действий является сбор улик. Так нам очень важно иметь дамп оперативной памяти, потому что из него можно получить информацию о том, какие процессы были запущены в системе, и, например, можно выделить и сделать дамп процессов, созданных вредоносом для последующего анализа данного дампа.

Также большое значение имеет информация о том, какие приложения запускал пользователь, какие документы открывал в офисных программах, какие сетевые соединения он устанавливал со сторонним ресурсами по таким протоколам как RDP и SSH. И помочь в решение этих и аналогичных задач нам может реестр Windows.

Читать далее

Источник: Хабрахабр

Перейти на сайт

Похожие новости

• SD-WAN и трудности миграции: успеть за 30 минут
• Почему компании выходят из облака?
• Расследование: отечественные микросхемы в счетчиках электроэнергии – миф или реальность?
• Пентесты: как сделать всё по закону
• Compass Мессенджер: Как финтех-стартап Stripe пришел к $100 млрд капитализации: низкая база и большие деньги
• Appbooster: Свежие обновления App Store и Google Play и как они влияют на ASO
• AlinaTen: Masimo подала в суд на таможню США из-за запрета на ввоз Apple Watch
• mybi connect: 8 лет mybi connect!
• Spark_news: Теперь в 2ГИС родители в России смогут следить за тем, где находятся их дети
• Passkeys как альтернатива CAPTCHA: миф или будущее?