Запуск приложений с Prefetch
• Имя файла записывается в формате C:\WINDOWS\Prefetch
• NOTEPAD.EXE-AF43252301.PF
Имя исполняемого
файла
Хэш из данных EXE и
аргументов командной
строки
Расширение
Prefetch файлов
Для одного того же EXE будут создаваться разные PF файлы в
зависимости от параметров передаваемых в командной строке
Feature Location
Temporary Internet Files C:\Users\user\AppData\Local\Microsoft\Windows\
Temporary Internet Files\Content.IE5
Cookies C:\Users\user\AppData\Roaming\Microsoft\Windows\
Cookies
Visited C:\Users\<user>\AppData\Local\Microsoft\Windows\
History\History.IE5\MShist01<date>
History C:\Users\user\AppData\Local\Microsoft\Windows\
History\History.IE5
Без криминалистики могли прийти к ложным заключениям!
Идентифицируете важные системы. Проводите регулярный аудит этих систем
Ограничьте набор запускаемых приложений с помощью Applcoker или SRP
Ограничьте права стандартного пользователя
Включите Volume Shadow Copy Придерживайтесь рекомендаций вендора системы в сфере ИБ
E-mail:
Twitter:
@abeshkov
