在數位鑑識調查中,往往會留意程式的網路行為,因為木馬就是把您個人重要資料上傳出去,我們通常作法就是監控封包或連線行為,但是開始調查後,也就是事件發生之後,不見得當下還能偵測到異常流量,所以可以解析 C:\Windows\System32\sru\srudb.dat 裡面有記載您電腦 app 也就是程式的網路上傳與下載的總流量,從這裡的資訊去辨別哪支程式是沒註冊、位置也較可疑,就可以留意他上傳的流量,是否異常過多,好去追蹤分析該程式行為,是否為木馬程式。我們看看資訊內容:
上圖就是我從 C:\Windows\System32\sru\srudb.dat 解析出來的資訊,裡面紅框就是我剛說的程式名稱與上傳流量的資訊,有興趣的朋友也能去解析該檔案內容資訊,它裡面記載的資訊不只這些。
要是對這些鑑識調查系統資訊模組或工具製作有興趣,可以到粉絲團 facebook.com/rexlintechnology 跟我留言或聯絡,不吝嗇給個讚跟追蹤吧!
文章標籤
全站熱搜
留言列表
