Ko nga konae whaiwhai, ko nga konae Tiaki Tiaki ranei, kua noho ki Windows mai i te XP. Mai i tera wa, kua awhinahia e ratou nga tohunga mo nga mahi aa-matimati me nga tohunga whakautu maiki rorohiko ki te rapu tohu o te rorohiko, tae atu ki te kino. He tohunga rangatira mo te Roopu-IB mo nga mahi toi rorohiko Oleg Skulkin korero ki a koe nga mea ka kitea e koe ma te whakamahi i nga konae Prefetch me pehea te mahi.
Ko nga konae tiki-mua kei te rongoa i roto i te whaiaronga %SystemRoot%Prefetch me te mahi ki te tere ake i te tukanga o te whakarewa i nga kaupapa. Mena ka titiro tatou ki tetahi o enei konae, ka kite tatou e rua nga wahanga o tona ingoa: ko te ingoa o te konae ka taea te whakahaere me te tohu taki waru-waa mai i te huarahi ki reira.
Kei roto i nga konae prefetch te maha o nga korero e whai hua ana mai i te tirohanga matapae: te ingoa o te konae ka taea te whakahaere, te maha o nga wa i mahia ai, nga rarangi o nga konae me nga raarangi i uru ai te konae whakahaere, me te tika, nga tohu wa. Ko te tikanga, ka whakamahia e nga kaiputaiao matapae te ra hanga o tetahi konae Prefetch hei whakatau i te ra i whakarewahia tuatahitia ai te kaupapa. I tua atu, ka penapenahia e enei konae te ra o tona whakarewanga whakamutunga, ka timata mai i te putanga 26 (Windows 8.1) - nga tohu wa o nga oma e whitu o mua tata nei.
Me tango tetahi o nga konae Prefetch, tango raraunga ma te whakamahi i te PECmd a Eric Zimmerman ka titiro ki ia wahanga. Hei whakaatu, ka tangohia e ahau nga raraunga mai i tetahi konae CCLEANER64.EXE-DE05DBE1.pf.
Na me timata mai i runga. Ae ra, kei a matou te hanga kōnae, te whakarereke, me nga tohu waahi uru:
Ka whaia e te ingoa o te konae ka taea te whakahaere, te arowhai o te ara ki reira, te rahi o te konae kawe, me te putanga o te konae Prefetch:
I te mea e mahi ana tatou Windows 10, ka whai ake ka kite tatou i te maha o nga tiimatanga, te ra me te wa o te tiimatanga whakamutunga, me nga tohu wa e whitu e tohu ana i nga ra whakarewatanga o mua:
Ka whai i enei korero mo te rōrahi, tae atu ki tana tau rangatū me te rā hanga:
Ko te mea whakamutunga engari ko te mea iti rawa ko te rarangi o nga raarangi me nga konae i taunekenekehia e te kaiwhakahaere:
Na, ko nga whaiaronga me nga konae i taunekenekehia e te kaipahua ko nga mea e hiahia ana ahau ki te aro ki tenei ra. Ko enei raraunga ka taea e nga tohunga mo nga mahi whakawairangi mamati, te urupare mai i te rorohiko, me te hopu whakatuma whakatumatuma ki te whakapumau i te pono o te mahi o tetahi konae, engari ano hoki, i etahi wa, ki te hanga ano i nga tikanga me nga tikanga a te hunga whakaeke. I tenei ra, he maha nga wa e whakamahi ana nga kaiwhaiwhai i nga taputapu ki te whakakore i nga raraunga, hei tauira, SDelete, na reira ko te kaha ki te whakahoki mai i nga tohu o te whakamahi i etahi tikanga me nga tikanga he mea tika mo tetahi kaiwawao hou - he tohunga mo te rorohiko, he tohunga mo te urupare mai i nga aitua, ThreatHunter. tohunga.
Me timata tatou ki te tikanga Whakauru Tuatahi (TA0001) me te tikanga rongonui, Spearphishing Attachment (T1193). He tino auaha etahi o nga roopu mahi ipurangi ki te whiriwhiri i nga haumi. Hei tauira, i whakamahia e te roopu Silence nga konae kei te whakatakotoranga CHM (Microsoft Compiled HTML Help) mo tenei. No reira, kei mua i a maatau tetahi atu tikanga - Kohikohia HTML File (T1223). Ka whakarewahia enei konae ma te whakamahi hh.exe, no reira, ki te tango raraunga mai i tana konae Prefetch, ka kitea he aha te konae i whakatuwherahia e te patunga:
Me mahi tonu tatou me nga tauira mai i nga keehi tuuturu ka neke atu ki te tikanga Whakamate (TA0002) me te tikanga CSMTP (T1191). Ka taea e nga kaiwhaiwhai te whakamahi i te Kaiwhakahaere Hononga Microsoft Profile Installer (CMSTP.exe) ki te whakahaere i nga tuhinga kino. He tauira pai ko te roopu Cobalt. Mena ka tangohia e matou nga raraunga mai i te konae Prefetch cmstp.exe, ka kitea ano he aha te mea i whakarewahia:
Ko tetahi atu tikanga rongonui ko Regsvr32 (T1117). Regsvr32.exe he maha hoki nga wa e whakamahia ana e nga kaiwhaiwhai ki te whakarewa. Anei tetahi tauira mai i te roopu Cobalt: mena ka tangohia e matou he raraunga mai i te konae Tiaki regsvr32.exe, ka kite ano tatou i te mea i whakarewahia:
Ko nga tikanga e whai ake nei ko te Persistence (TA0003) me te Privilege Escalation (TA0004), me te Application Shimming (T1138) hei tikanga. I whakamahia tenei tikanga e Carbanak/FIN7 hei punga i te punaha. I te nuinga o te wa ka whakamahia ki te mahi me nga papaa raraunga hototahi papatono (.sdb) sdbinst.exe. No reira, ka taea e te konae Prefetch o tenei whakahaere te awhina i a maatau ki te rapu i nga ingoa o aua putunga korero me o raatau waahi:
Ka kitea e koe i roto i te whakaahua, ehara i te mea ko te ingoa anake o te konae i whakamahia mo te whakaurunga, engari ko te ingoa o te papaaarangi kua whakauruhia.
Me titiro ki tetahi o nga tauira tino noa o te whakatö whatunga (TA0008), PsExec, ma te whakamahi i nga hea whakahaere (T1077). Ko te ratonga ko PSEXECSVC te ingoa (ae, ka taea te whakamahi i etahi atu ingoa mena ka whakamahia e nga kaiwhaiwhai te tawhā -r) ka hangaia i runga i te punaha whaainga, no reira, ki te tangohia nga raraunga mai i te konae Prefetch, ka kite tatou he aha i whakarewahia:
Ka mutu pea ahau ki te wahi i timata ai ahau - te whakakore i nga konae (T1107). Ka rite ki taku korero, he maha nga kaiwhaiwhai e whakamahi ana i te SDelete ki te whakakore i nga konae i nga waahanga rereke o te huringa ora whakaeke. Mena ka titiro tatou ki nga raraunga mai i te konae Prefetch sdelete.exe, ka kite tatou he aha te mea i mukua:
Ae ra, ehara tenei i te rarangi tino o nga tikanga ka kitea i te wa e tirotirohia ana nga konae Prefetch, engari me nui tenei ki te maarama ka taea e enei konae te awhina kia kaua e kitea nga tohu o te whakarewatanga, engari ki te hanga ano i nga tikanga me nga tikanga whakaeke. .
Source: will.com