Publié par : pintejp | décembre 12, 2016

Artéfacts inforensiques liés aux services Windows

Cet article présente plusieurs artéfacts inforensiques liés à l’installation ou à l’exécution d’un service sous Windows.

Les services Windows sont parfois exécutés avec des privilèges élevés et souvent lancés automatiquement. Ils sont donc particulièrement utilisés par des codes malveillants comme mécanisme de persistance. Par conséquent, une attention particulière doit leur être accordée lors d’une investigation afin de relever des traces de leur exploitation.

Ces artéfacts se retrouvent classiquement dans le système de fichiers, la base de registre, les fichiers d’événements Windows, mais aussi en mémoire.

Certains apparaissent lors de l’installation, d’autres à son lancement ou encore pendant son exécution.

http://www.cert.ssi.gouv.fr/site/CERTFR-2016-ACT-049/CERTFR-2016-ACT-049.html


Laisser un commentaire

Choisissez une méthode de connexion pour poster votre commentaire:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s

Catégories

%d blogueurs aiment cette page :