یک شرکت امنیتی متوجه میشود که یکی از کارمندانش که دارای سطح دسترسی بالای هست، فایلهای حساس را از سیستم خود پاک کرده است.
تیم امنیتی باید مشخص کند که آیا فایلهای حذف شده بازیابیپذیر هستند یا خیر، چه اطلاعاتی در متادیتا باقی مانده و آیا نشانهای از مخفیسازی اطلاعات با استفاده از Alternate Data Streams (ADS) یا دیگر تکنیکها وجود دارد.
موارد زیر باید در این چالش مد نظر قرار گیرد:
تحلیل سریع (Triage Analysis) تا مشخص شود چه فایلهایی اخیراً دستکاری شدهاند.
انجام تحلیل فایل سیستم (File System Analysis) و فایلهای حذفشده بررسی شوند.
بررسی متادیتا و استریمهای مخفی (Metadata & ADS Analysis) برای شناسایی دادههای مخفی.
ریکاوری فایلهای حذفشده (File Recovery) و بررسی صحت دادههای بازیابیشده.
برای حل این چالش شما می بایست تمامی شواهد در MFT، ADS، Prefetch، Event Logs و تغییرات متادیتا را بررسی نمایید.
درصد پیشرفت حل چالش
0%
