在數位鑑識調查中,往往會留意程式的網路行為,因為木馬就是把您個人重要資料上傳出去,我們通常作法就是監控封包或連線行為,但是開始調查後,也就是事件發生之後,不見得當下還能偵測到異常流量,所以可以解析 C:\Windows\System32\sru\srudb.dat 裡面有記載您電腦 app 也就是程式的網路上傳與下載的總流量,從這裡的資訊去辨別哪支程式是沒註冊、位置也較可疑,就可以留意他上傳的流量,是否異常過多,好去追蹤分析該程式行為,是否為木馬程式。我們看看資訊內容:
數位鑑識-可疑程式調查之程式網路流量監控在數位鑑識調查中,往往會留意程式的網路行為,因為木馬就是把您個人重要資料上傳出去,我們通常作法就是監控封包或連線行為,但是開始調查後,也就是事件發生之後,不見得當下還能偵測到異常流量,所以可以解析 C:\Windows\System32\sru\srudb.dat 裡面有記載您電腦 app 也就是程式的網路上傳與下載的總流量,從這裡的資訊去辨別哪支程式是沒註冊、位置也較可疑,就可以留意他上傳的流量,是否異常過多,好去追蹤分析該程式行為,是否為木馬程式。我們看看資訊內容:
