Направление сетевой форенсики нацелено на сбор сведений о том кто, куда и когда подключался, какие данные были переданы/получены. Если рассматривать вопрос в плоскости расследования инцидентов и средств защиты информации, то здесь важно был ли трафик вредоносным и может ли он указывать на какие-либо аномалии, например, получение корпоративными пользователями доступов к ресурсам, доступа до которых быть не должно, всплески трафика с рабочих станций вне рабочее время и т.п. В данной статье рассмотрим какие сетевые артефакты можно достать с Windows хоста при условии, что он никак специально предварительно не конфигурировался.
В современном мире все привыкли к быстрым коммуникациям через мессенджеры, многозадачности и возможности получать всплывающие на экран уведомления о событиях или сообщениях, не открывая при этом предварительно самого приложения. В Windows по аналогии с другими OS есть свой механизм для доставки уведомлений пользователю — Windows Push Notification Services (WNS). И при расследовании какого‑либо инцидента для форенсик специалиста могут быть полезны сведения из уведомлений Windows.
Во второй статье продолжим разговор, рассмотрев вопросы восстановления удалённых из реестра элементов (ключи, значения), а также некоторые особенности создания и хранения элементов реестра. В экспериментах используется виртуальная машина VirtualBox с Windows 11 23H2. Первую часть о форенсике реестра Windows и некоторых интересных сведениях из него можно прочитать здесь.
Думаю ни у кого не возникает сомнений в важности грамотной работы специалистов ИБ и ИТ служб, учитывая события недавних дней с ТК СДЭК, а также другие крупные взломы/утечки, которых было немало за последние пару, тройку лет. Обеспечение грамотной работы включает в себя обычно комплекс мероприятий, да и в целом в работе служб ИБ есть множество направлений, где одним из интереснейших направлений, без которого, на мой взгляд, трудно обойтись, является компьютерная криминалистика (Forensic или форенсика).
