调查包数据
注意
请注意,从用户工作站收集的调查包中部分信息属于个人数据范畴。
请确保履行审慎义务以保护敏感用户信息,并根据当地用户数据隐私法规告知用户相关收集行为。
调查包将以下日志和数据编译为可下载的归档文件:
-
Bitdefender终端安全工具 ( BEST )产品日志
-
Windows事件日志
-
系统信息
-
来自以下位置的注册表配置单元文件:
-
%SystemRoot%\System32\Config: SOFTWARE, SYSTEM, DEFAULT, DRIVERS, SAM, SECURITY(包括.LOG1和.LOG2文件) -
%SystemDrive%\Users: NTUSER.DAT, NTUSER.DAT.LOG1, NTUSER.DAT.LOG2
-
-
amcache (
%SystemRoot%\AppCompat\Programs\Amcache.hve) -
shimcache (
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache) -
prefetch (
C:\WINDOWS\Prefetch) -
网络信息:
-
ActiveNetConnections (
C:\WINDOWS\system32\netstat.exe -abno) -
AddressResolutionProtocolCache (
C:\WINDOWS\system32\arp.exe -a) -
DnsCache (
C:\WINDOWS\system32\ipconfig.exe /displaydns) -
SmbInboundSessions (
C:\WINDOWS\system32\net.exe session) -
SmbOutboundSessions:
-
HKEY_USERS\S-1-5-21-1272178354-3831401975-2086234833-500\Network -
HKEY_USERS\S-1-5-21-1272178354-3831401975-2086234833-1001\Network -
HKEY_USERS\S-1-5-21-1272178354-3831401975-2086234833-504\Network
-
-
FirewallLogs:
-
C:\WINDOWS\system32\cmd.exe/C"for/f"tokens=2delims="%Fin('Get-NetFirewallProfile^|findstrFileName')docmd/Cxcopy/F/Y/Q"%F""C:\ProgramData\Microsoft\WindowsDefenderAdvancedThreatProtection\Temp\CollectedData\913d3b5c-9d98-447d-a554-40a381104d01\..\"&cmd/Cmove"C:\ProgramData\Microsoft\WindowsDefenderAdvancedThreatProtection\Temp\CollectedData\913d3b5c-9d98-447d-a554-40a381104d01\..\pfirewall.log""C:\ProgramData\Microsoft\WindowsDefenderAdvancedThreatProtection\Temp\CollectedData\913d3b5c-9d98-447d-a554-40a381104d01\NetworkConnections\pfirewall.log""
-
-
-
Temp Dir Files (Listing with details for all users and system):
-
dir /a /n /q /r /s
-
-
ScheduledTasks (
C:\WINDOWS\system32\schtasks.exe /query /v /fo CSV) -
Powershell history (if enabled)
-
Webcache (
%LOCALAPPDATA%\Microsoft\Windows\WebCache) -
WdSupportLogs:
-
C:\WINDOWS\system32\cmd.exe/C""%ProgramFiles%\WindowsDefender\mpcmdrun.exe"-GetFiles©"%programdata%\Microsoft\WindowsDefender\Support\MPSupportFiles.cab""C:\ProgramData\Microsoft\WindowsDefenderAdvancedThreatProtection\Temp\CollectedData\913d3b5c-9d98-447d-a554-40a381104d01\WdSupportLogs""
-
-
Users and Groups (Listing of all local users and groups):
-
netuser;netlocalgroup -
Groups membership listing:
for/f"delims="%xin('netlocalgroup^|find""')donetlocalgroup"%x" -
Current logged-in users:
queryuser
-
-
SRUDB:
-
C:\Windows\System32\sru
-
-
后台活动调节器:
-
HKLM\SYSTEM\ControlSet001\Services\bam
-
-
WMI存储库:
-
%windir%System32\Wbem\Repository
-
-
CSV格式的取证数据收集报告:
-
CSV表头: | 时间戳 | 名称 | 命令 | 命令执行状态 | 命令退出码 | 目标路径 |
-
备注
取证数据收集操作将跳过被锁定或不存在的项目。根据操作系统版本和系统配置,部分项目可能缺失或无法采集。
将创建一个包含两个文件夹的归档文件:
-
SupportTool (包含来自 BEST 客户端的基础日志)
-
ForensicArtefacts
ForensicArtefacts目录包含一个CSV文件(表头为"当前时间,命令名称,命令行,状态,错误,输出文件")及以下文件夹:
自启动项和服务
|
命令 |
输出文件 |
|---|---|
|
|
systemctl单元文件列表.txt |
|
|
systemd服务文件描述.txt |
|
|
已加载的systemd单元.txt |
|
|
rc文件夹列表.txt |
|
|
init文件列表.txt |
|
|
cron文件夹列表.txt |
从上述列表文件中复制所有文件和文件夹
|
|
所有用户的rc文件.txt |
|
从"所有用户的rc文件.txt"中复制文件 |
文件格式"<用户> <*rc>" |
网络信息
|
命令 |
输出文件 |
|---|---|
|
|
iptables -t nat -L.txt |
|
|
iptables -vnL.txt |
|
|
sockstat.txt |
|
|
arp.txt |
|
|
route.txt |
|
|
dev.txt |
如果 netstat 已 安装 :
|
命令 |
输出文件 |
|---|---|
|
|
netstat -p.txt |
|
|
netstat -s.txt |
|
|
netstat -ie.txt |
|
|
netstat -tulpn.txt |
如果 未安装 ,则使用备用命令集:
|
命令 |
输出文件 |
|---|---|
|
|
snmp计数器.txt |
|
|
程序及对应套接字.txt |
|
|
所有TCP和UDP v6连接.txt |
如果 ifconfig 已 安装 则执行:
|
|
ifconfig.txt |
如果 未安装 ,则执行:
|
|
接口计数器和IP地址.txt |
各类系统信息片段
|
命令 |
输出文件 |
|---|---|
|
|
活跃用户.txt |
|
|
用户及登录时间.txt |
|
|
uname -a.txt |
|
|
最后登录用户及是否远程登录+IP地址.txt |
|
|
lshw.txt |
|
|
dmesg.txt |
如果 lsb_release 已 安装 :
|
|
lsb_release.txt |
如果 未安装 :
|
|
os-release.txt |
证书
若以下任一目录存在,其内容将被复制到证书目录中:
-
/etc/ssl/certs
-
/etc/pki/tls/certs
-
/etc/pki/CA/certs
各类文件与信息
|
命令 |
输出文件 |
|---|---|
|
|
所有用户的bash历史记录文件.txt |
|
从"所有用户rc文件.txt"中复制文件 |
文件格式"<用户> <.bash_history>" |
以下文件将被复制到文件夹中:
-
/etc/host*
-
/etc/passwd
-
/etc/group
-
/etc/login.defs
-
/etc/sudoers*
-
/etc/shells
-
/etc/apt/sources.list*
-
/var/log/syslog
-
/var/log/messages
-
/var/log/auth.log
-
/var/log/secure
-
/var/log/boot.log
-
/var/log/utmp
-
/var/log/wtmp
-
/var/log/kern.log
-
/var/log/faillog
-
/var/log/cron
文件列表
|
命令 |
输出文件 |
|---|---|
|
|
递归列表.txt |
|
|
递归树状图.txt |
|
|
递归树状图2.txt |
|
|
5M以下文件的sha256校验值.txt |
已安装软件包
以下命令仅在工具存在时执行:
|
命令 |
输出文件 |
|---|---|
|
|
apt列表.txt |
|
|
dpkg列表.txt |
|
|
dnf列表.txt |
|
|
yum列表.txt |
|
|
rpm列表.txt |
|
|
zypper列表.txt |
服务特定日志
-
apache日志
若apache日志直接位于"/var/log/"目录,则以"httpd-access.log"或"httpd-error.log"开头的所有文件将被复制到"服务特定日志"文件夹。
若apache日志未存储在"/var/log/"目录且存在以下任意文件夹,则其内容将被复制到"服务特定日志"文件夹。
-
/var/log/httpd
-
/var/log/apache2
-
-
nginx日志
命令
输出文件
grep"_log"/etc/nginx/nginx.conf|awk'{print$2}'|tr-d\;nginx日志路径.txt
复制与"nginx日志路径.txt"中列出的文件对应的所有文件
它们在nginx文件夹中的具体文件名
-
vpn日志 (openvpn、wireguard、ipsec/openswan等)
命令
输出文件
cat/var/log/syslog*|grep-ivpnvpn日志.txt
将创建包含以下内容的归档文件:
-
一组通用 最佳 日志(支持工具归档)
-
自动启动项 :
-
启动代理
-
/Library/LaunchAgents/*
-
/System/Library/LaunchAgents/*
-
%%users.homedir%%/Library/LaunchAgents/*
-
-
启动守护进程
-
/Library/LaunchDaemons/*
-
/System/Library/LaunchDaemons/*
-
-
启动项
-
/Library/StartupItems/*
-
/System/Library/StartupItems/*
-
-
定时任务表
-
登录项
-
-
浏览器痕迹:
-
偏好设置
-
历史记录
-
下载内容
-
扩展程序
-
书签
-
Info.plist文件
-
-
进程列表
-
网络信息:
-
开放/监听连接(netstat -blant)
-
开放/监听连接(netstat -blant)
-
/private/etc/pf.anchors
-
/private/etc/pf.conf
-
/private/etc/hosts
-
/private/var/run/resolv.conf
-
/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist
-
/Library/Preferences/SystemConfiguration/NetworkInterfaces.plist
-
-
系统信息
-
系统分析器
-
.bash_history及.bash_sessions(所有用户)
-
/private/var/log/asl
-
/private/var/log/install.log
-
-
递归文件列表:
-
/应用程序
-
/资源库
-
/System/Library/Caches
-
../资源库/Caches(所有用户)
-
../桌面(所有用户)
-
../文档(所有用户)
-
../下载(所有用户)
-