Please enable JavaScript.
Coggle requires JavaScript to display documents.
DFIR - Coggle Diagram
DFIR
Сбор данных
KAPE
CEDARPELTA
Magnet Acquire
Access Data FTK Imager
SyLR
WMI
Сбор информации
Информация о файлах
Информация о процессах
Шары
Возможно запуск программ
Prefetch - следы запуска программы
Временные метки
Количество запусков
С какими файлами взаимодействует
Последний запуски
Timestomping
FileName fileBody Stamp
Sysmon событие 2
IOC
Закрепление
Автозагрузка
Планировщик
System32/tasks/task_name
Создание образа
FTK imager
Belkasoft Acquisition Tools
$
MFT - расположен в корне
.pf -префетч - косвенный признак о запуске файла
$J -запуск процессов
$extends, $usnJrn
UpdateReason fileDelete fileowerwrite
lnk file
appdata\roaming\microsoft\windows\recent
Lecmd
JumpList
appdata\roaming\microsoft\windows\recent\*Destinations
JLECmd
SRUMDB.dat
system32/srudb
ActivityCashe.db
Таймлайн приложения (в том числе с какими с файлами работает)