## การแนะนำ
คู่มือนี้ให้การวิเคราะห์โดยละเอียดเกี่ยวกับสิ่งประดิษฐ์ทางนิติเวชของ Windows และเทคนิคการตรวจจับมัลแวร์ ซึ่งจำเป็นสำหรับผู้เชี่ยวชาญด้านนิติเวชดิจิทัลและการตอบสนองต่อเหตุการณ์ ( DFIR ) ข้อมูลได้รับการจัดระเบียบเป็นพื้นที่สำคัญของการรวบรวมและวิเคราะห์หลักฐาน โดยมีตัวอย่างและการตีความในทางปฏิบัติ
## ส่วนที่ 1: สิ่งประดิษฐ์ทางนิติวิทยาศาสตร์ของ Windows
### 1. การวิเคราะห์กิจกรรมของผู้ใช้
#### สิ่งประดิษฐ์ประวัติเบราว์เซอร์
- **ที่ตั้ง**:
- Internet Explorer: `%userprofile%\AppData\Local\Microsoft\Windows\History\`
- Firefox: `%userprofile%\AppData\Roaming\Mozilla\Firefox\Profiles\`
**ตัวอย่างในโลกแห่งความเป็นจริง:**
ในระหว่างการสืบสวนภัยคุกคามจากภายใน นักวิเคราะห์ได้ค้นพบการขโมยข้อมูลที่ไม่ได้รับอนุญาตโดยการตรวจสอบประวัติเบราว์เซอร์ การสืบสวนเผยให้เห็นว่า:
- ดาวน์โหลดไฟล์ในเวลาที่ผิดปกติ
- การเข้าถึงเว็บไซต์แบ่งปันไฟล์
- คำค้นที่เกี่ยวข้องกับข้อมูลการแข่งขัน
#### กิจกรรมไฟล์ล่าสุด
- **OpenSaveMRU**: ติดตามไฟล์ที่เปิด/บันทึกในกล่องโต้ตอบ Windows
- **LastVisitedMRU**: บันทึกแอปพลิเคชันที่ใช้ในการเปิดไฟล์
- **รายการกระโดด**: รายการการเข้าถึงด่วนของ Windows 7 ขึ้นไป
**กรณีตัวอย่าง:**
ในคดีจารกรรมขององค์กร นักวิเคราะห์ใช้ Jump Lists เพื่อพิสูจน์ว่าพนักงานเข้าถึงเอกสารสำคัญก่อนลาออก:
-
C:\Users\employee\AppData\Roaming\Microsoft\Windows\Recent\AutomaticDestinations\
- แสดงการเข้าถึงการคาดการณ์ทางการเงิน
- ประทับเวลาตรงกับกิจกรรมหลังเลิกงาน
- คัดลอกไฟล์หลายไฟล์ไปยังไดรฟ์ภายนอก
-
### 2. หลักฐานกิจกรรมระบบ
#### การวิเคราะห์พรีเฟตช์
- ติดตามการดำเนินการแอปพลิเคชัน
- จำกัด 128 ไฟล์บน Windows
- ประกอบด้วยเวลาการดำเนินการและการจัดการไฟล์
**ตัวอย่างการปฏิบัติจริง:**
ในระหว่างการสืบสวนมัลแวร์:
-
C:\Windows\Prefetch\SUSPICIOUS.EXE-A8F924B1.pf
- ดำเนินการครั้งแรก : 2024-01-15 02:14:33
- โหลด DLL ที่ผิดปกติจากไดเร็กทอรีชั่วคราว
- การเชื่อมต่อเครือข่ายกับ IP ที่น่าสงสัย
-
## ส่วนที่ 2: กระบวนการตรวจจับมัลแวร์
### ขั้นตอนที่ 1: การเตรียมหลักฐาน
1. การลดข้อมูลโดยใช้รายการแฮช
2. การแยกไฟล์ปฏิบัติการจากพื้นที่ที่ไม่ได้รับการจัดสรร
3. การเก็บภาพความจำ
**ตัวอย่าง:**
``` ทุบตี
# การแกะสลักไฟล์ปฏิบัติการ
อันดับแรก -t exe, dll -i disk.img -o carved_files
# การเปรียบเทียบแฮช
md5deep -r /system32 > ไฟล์ baseline_hashes.txt
-
### ขั้นตอนที่ 2: การสแกนไวรัส
- ใช้เครื่องยนต์หลายตัว
- การสแกนหลักฐานอย่างละเอียด
- สแกนสิ่งประดิษฐ์ที่ส่งออก
**กรณีจริง:**
-
ตรวจพบมัลแวร์: Trojan.Generic.DNS.Hijacker
- พบใน: C:\Windows\System32\drivers\
- ไฟล์ระบบที่แก้ไข: 3
- การกำหนดค่าเครือข่ายที่ได้รับผลกระทบ: การตั้งค่า DNS
-
[ต่อด้วยขั้นตอนโดยละเอียด 3-13 พร้อมตัวอย่างเชิงปฏิบัติ...]
## การฝึกอบรมที่แนะนำ
หากต้องการการฝึกอบรมที่ครอบคลุมเกี่ยวกับการตอบสนองต่อเหตุการณ์และนิติวิทยาศาสตร์ดิจิทัล ขอแนะนำให้มีการรับรองCompTIA CySA+ เป็นอย่างยิ่ง การรับรองดังกล่าวประกอบด้วย:
- โมดูล DFIR ที่ครอบคลุม
- ห้องปฏิบัติการ CertMaster แบบปฏิบัติจริง
- การฝึกอบรมตามสถานการณ์จริง
- เทคนิคการวิเคราะห์มัลแวร์ในทางปฏิบัติ
เยี่ยมชม www.certmaster.org เพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับการรับรองและสภาพแวดล้อมห้องปฏิบัติการ
## เครื่องมือและทรัพยากร
เครื่องมือทั้งหมดที่กล่าวถึงในคู่มือนี้สามารถพบได้ที่ www.certmaster.org/tools รวมถึง:
- ยูทิลิตี้วิเคราะห์หน่วยความจำ
- เครื่องมือสร้างไทม์ไลน์
- สคริปต์การรวบรวมสิ่งประดิษฐ์
- กรอบการวิเคราะห์
โปรดจำไว้เสมอว่าต้องปฏิบัติตามขั้นตอนการควบคุมดูแลและเอกสารที่ถูกต้องเสมอระหว่างการสอบสวน
[เนื้อหาก่อนหน้ายังคงเหมือนเดิมจนถึงขั้นตอนที่ 2...]
### ขั้นตอนที่ 3: การค้นหาตัวบ่งชี้การประนีประนอม (IOC)
- ใช้นิพจน์บูลีนเพื่อระบุลักษณะของมัลแวร์
- รวมตัวบ่งชี้ตามโฮสต์และเครือข่าย
- ใช้ประโยชน์จากกฎ YARA และกรอบงาน OpenIOC
**ตัวอย่างกรณีจริง:**
```แยมล์
ตัวอย่างกฎ IOC:
- กระบวนการ: svchost.exe
เงื่อนไข:
- รันจาก: NOT C:\Windows\System32
- กระบวนการหลัก: ไม่ใช่ services.exe
- เครือข่าย: เชื่อมต่อกับ 185.128.xx.xx
ผลลัพธ์: ตรวจพบตัวแปร svchost ที่เป็นอันตรายซึ่งใช้เส้นทางที่ผิดปกติ
-
### ขั้นตอนที่ 4: การวิเคราะห์หน่วยความจำอัตโนมัติ
- การตรวจจับการใส่โค้ด
- การตรวจสอบเส้นทางกระบวนการ
- การตรวจสอบ SID
- การตรวจสอบการจัดการ
**ตัวอย่างการปฏิบัติจริง:**
-
ผลการวิเคราะห์ความจำ:
กระบวนการ: iexplore.exe (PID 4528)
ตัวบ่งชี้ที่น่าสงสัย:
- ฉีดโค้ดลงในพื้นที่หน่วยความจำ 0x7FF00000
- สร้าง cmd.exe พร้อมสิทธิ์ของผู้ดูแลระบบ
- DLL ที่ไม่ได้ลงนามโหลดจาก %temp%
การดำเนินการ: ดำเนินการตามขั้นตอนเพื่อทำการสืบสวนเพิ่มเติม
-
### ขั้นตอนที่ 5: หลักฐานความคงอยู่
- วิเคราะห์ตารางงาน
- การตรวจสอบการให้บริการ
- ตำแหน่งการเริ่มต้นรีจิสทรีอัตโนมัติ
- ปรับเปลี่ยนเซกเตอร์บูต
**กรณีศึกษา:**
```การลงทะเบียน
พบการคงอยู่ของมัลแวร์:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\เรียกใช้
- ชื่อ : "ตัวช่วยระบบ"
- เส้นทาง: C:\Users\Admin\AppData\Local\Temp\syshelp.exe
- สร้างเมื่อ: 2024-01-20 03:14:22
- ไม่มีลายเซ็นดิจิทัล
- เชื่อมต่อกับเซิร์ฟเวอร์ C2 เมื่อเริ่มต้นใช้งาน
-
### ขั้นตอนที่ 6: การบรรจุ/การตรวจสอบเอนโทรปี
- สแกนหาไฟล์ปฏิบัติการที่บรรจุอยู่
- การวิเคราะห์เอนโทรปี
- การระบุลายเซ็นคอมไพเลอร์
- การตรวจสอบลายเซ็นดิจิทัล
**ตัวอย่างจริง:**
-
ไฟล์: update_service.exe
ผลการวิเคราะห์:
- คะแนนเอนโทรปี: 7.84 (สูงมาก)
- มาพร้อมกับ: UPX variant
- ไม่มีลายเซ็นดิจิทัลที่ถูกต้อง
- แก้ไขเวลาคอมไพล์ดั้งเดิม
-
### ขั้นตอนที่ 7: การตรวจสอบบันทึกเหตุการณ์
- การวิเคราะห์เหตุการณ์ด้านความปลอดภัย
- การตรวจสอบบันทึกระบบ
- การตรวจสอบบันทึกการใช้งาน
- การตรวจสอบบันทึกที่กำหนดเอง
**ตัวอย่างการสืบสวน:**
-
การวิเคราะห์บันทึกเหตุการณ์:
ช่วงเวลา : 2024-01-15 02:00-04:00
ผลลัพธ์ที่พบ:
- ความพยายามเข้าสู่ระบบล้มเหลวหลายครั้ง (รหัสเหตุการณ์ 4625)
- การสร้างบริการ (Event ID 7045)
- นโยบายการดำเนินการของ PowerShell มีการเปลี่ยนแปลง
- สร้างงานตามกำหนดเวลาที่น่าสงสัย
-
### ขั้นตอนที่ 8: การตรวจสอบไทม์ไลน์สุดยอด
- เชื่อมโยงแหล่งข้อมูลหลายแหล่ง
- ให้บริบทกิจกรรม
- ระบุเหตุการณ์ที่เกี่ยวข้อง
- การตรวจจับความผิดปกติตามไทม์ไลน์
**กรณีตัวอย่าง:**
-
ตรวจพบลำดับไทม์ไลน์:
02:14:22 - อีเมลฟิชชิ่งถูกเปิดขึ้น
02:14:23 - ไฟล์แนบถูกแยกไปที่ %temp%
02:14:24 - การดำเนินการของ PowerShell
02:14:25 - สร้างบริการใหม่แล้ว
02:14:26 - การเชื่อมต่อ C2 ขาออก
-
### ขั้นตอนที่ 9: การวิเคราะห์หน่วยความจำด้วยตนเอง
- การวิเคราะห์รายการกระบวนการ
- ตรวจสอบการเชื่อมต่อเครือข่าย
- สอบโหลดโมดูล
- การตรวจจับรูทคิท
**การสืบสวนจริง:**
-
ผลการวิเคราะห์ความจำ:
- ตรวจพบกระบวนการที่ซ่อนอยู่ (PID 4892)
- การฉีด DLL ในกระบวนการที่ถูกต้องตามกฎหมาย
- ระบุฮุก Syscall แล้ว
- พบการปรับเปลี่ยนเคอร์เนล
-
### ขั้นตอนที่ 10: การค้นหาแฮชของบุคคลที่สาม
- การรวม VirusTotal
- การตรวจสอบ Bit9 FileAdvisor
- การเปรียบเทียบฐานข้อมูล NSRL
- แบบสอบถามฐานข้อมูลแฮชที่กำหนดเอง
**ตัวอย่างผลลัพธ์:**
-
ไฟล์: system_update.exe
MD5: d41d8cd98f00b204e9800998ecf8427e
ผลลัพธ์ VirusTotal:
- ตรวจพบโดยเครื่องยนต์ 34/68
- พบครั้งแรก: 2024-01-15
- ตัวอย่างที่เกี่ยวข้อง: 12
- รู้จัก C2: 185.128.xx.xx
-
### ขั้นตอนที่ 11: ความผิดปกติของ MFT
- การวิเคราะห์ตัวเลขลำดับ
- ความสัมพันธ์ของเวลาการสร้าง
- การตรวจสอบโครงสร้างไดเรกทอรี
- การตรวจสอบบันทึก MFT
**ตัวอย่างกรณี:**
-
การวิเคราะห์ MFT:
ไฟล์ System32 ปกติ:
- บันทึก MFT: 1000-1200 (ต่อเนื่อง)
ไฟล์ที่น่าสงสัย:
- svchost.exe
- บันทึก MFT: 458965 (ไม่เรียงลำดับ)
- สร้างขึ้นหลังจากการติดตั้งระบบ
-
### ขั้นตอนที่ 12: ความผิดปกติในเวลาไฟล์
- การเปรียบเทียบ $STANDARD_INFORMATION
- การวิเคราะห์แอตทริบิวต์ $FILENAME
- การตรวจสอบความแม่นยำระดับนาโนวินาที
- การตรวจจับการประทับเวลา
**การตรวจจับจริง:**
-
ไฟล์: winlogon.exe
ไทม์สแตมป์:
$SI สร้างเมื่อ: 2024-01-15 02:14:22
$FN สร้างเมื่อ: 2023-12-25 10:00:00 น.
ความผิดปกติ: เวลา $FN เกิดขึ้นก่อนเวลา $SI
ข้อบ่งชี้: อาจมีการจัดการค่าประทับเวลา
-
### ขั้นตอนที่ 13: การยืนยันมัลแวร์และขั้นตอนถัดไป
- การแยกตัวอย่าง
- การสกัดการกำหนดค่า
- การเก็บรักษาสแน็ปช็อตหน่วยความจำ
- การพัฒนาตัวชี้วัด
**ผลการสอบสวน:**
-
ผลการวิเคราะห์มัลแวร์:
ตัวอย่าง: ransomware_loader.exe
ความสามารถ:
- กระบวนการฉีด
- การคงอยู่ของรีจิสทรี
- การสื่อสาร C2
- การเข้ารหัสข้อมูล
ตัวบ่งชี้เครือข่าย:
- C2: 185.128.xx.xx:443
- DNS: อัปเดต.malicious[.]com
ตัวบ่งชี้ไฟล์:
- SHA256: 8d4e7...
- มิวเท็กซ์: Global\Ransom_Instance
-
## เส้นทางการฝึกที่แนะนำ
การรับรอง CompTIA CySA+ ให้ความครอบคลุมอย่างครอบคลุมเกี่ยวกับเทคนิคเหล่านี้ผ่าน:
### ห้องปฏิบัติการ CertMaster
- การวิเคราะห์มัลแวร์แบบปฏิบัติจริง
- นิติเวชความจำสด
- การวิเคราะห์ไทม์ไลน์
- การตรวจสอบการจราจรบนเครือข่าย
### เนื้อหาหลักสูตร
- ขั้นตอนการตอบสนองเหตุการณ์
- วิธีการทางนิติวิทยาศาสตร์ดิจิทัล
- เทคนิคการตรวจจับมัลแวร์
- การจัดการหลักฐาน
เยี่ยมชม www.certmaster.org เพื่อดูข้อมูลหลักสูตรโดยละเอียดและการเข้าถึงห้องปฏิบัติการ
## เครื่องมือและทรัพยากร
เข้าถึงเครื่องมือที่จำเป็นทั้งหมดได้ที่ www.certmaster.org/tools:
กรอบความผันผวน
- เครื่องวิเคราะห์ไทม์ไลน์
- นักสะสมโบราณวัตถุ
- ยูทิลิตี้การวิเคราะห์
## แนวทางปฏิบัติที่ดีที่สุด
1. รักษาห่วงโซ่การควบคุมให้คงอยู่เสมอ
2. บันทึกผลการค้นพบทั้งหมด
3. ใช้ตัวบล็อกการเขียน
4. ตรวจสอบผลลัพธ์ของเครื่องมือ
5. เก็บรักษาหลักฐานต้นฉบับ
คู่มือที่ครอบคลุมนี้มีแนวทางที่เป็นระบบในการตรวจจับนิติวิทยาศาสตร์และมัลแวร์ของ Windows ซึ่งถือเป็นสิ่งสำคัญสำหรับผู้เชี่ยวชาญด้านความปลอดภัยสมัยใหม่
ห้องปฏิบัติการการเรียนรู้แบบบูรณาการสำหรับใบรับรอง CompTIA CySA+ https://certmaster.org/products/comptia-integrated-certmaster-learn-labs-for-cysa-cs0-003