یکی از بررسی هایی که باید در فرآیند فارنزیک یا جرم شناسی انجام شود، بررسی رجیستری است.
در بررسی هایی که بر روی یک سیستم در شبکه انجام شده، مشخص گردیده که یک فایل بر روی آن سیستم اجرا شده است. این فایل در فرآیند تحقیقات، شناسایی و استخراج شده است.
شما باید ابتدا نحوه اجرا شدن و قرار گیری این فایل را شناسایی نموده و اجرای آن را اثبات نمایید. در ادامه باید با بررسی فایل اجرایی موجود در فایل های چالش، پروسسی که توسط این فایل فراخوانی و حذف شده است را نیز شناسایی نمایید.
نکته: نام فایل اجرایی موجود در فایل های چالش با تغییر نام قرار داده شده است. همچنین این فایل به محض اجرا، یک پروسس را از بین می برد.
به منظور پاسخ به سوالات نیاز به بررسی کلیدهای رجیستری می باشد.
راهنمایی: به تکنیک T1547 و زیر تکنیک 001 مراجعه نمایید:
https://attack.mitre.org/techniques/T1547/001
درصد پیشرفت حل چالش
0%
