跳至主内容
  • 云解决方案
  • 附录
  • 日志收集详情

日志收集详情

收集日志时,会采集以下对象的详细信息:

  • 文件

    对特殊文件夹(Windows文件夹、桌面、快速启动、计划任务和启动项)中的文件进行处理。这些通常是恶意软件藏匿的目录。文件收集采用多种模式,并运用反Rootkit技术以绕过高级恶意软件防护。

    每个文件将收集以下可用信息:

    • 版本信息

    • 数字签名详情

    • 头部字段

    仅收集以下扩展名的文件:

    • .exe

    • .dll

    • .sys

    • .com

    • .scr

    • .pif

    • .hta

    • .js

    • .jse

    • .vbs

    • .vbe

    • .bat

    • .cmd

    • .ps1

    • .apk

    • .xpi

    • .xpt

    • .cab

    • .msi

    • .jar

    • .swf

    • .reg

    • .lnk

    同时收集以下文件:

    • 基于内容的可执行文件和脚本文件

    • 备用数据流

    • WMI脚本

    • 计划任务文件

    • 内存转储

    • UEFI模块

    • Windows事件日志中的内容/脚本

    • Bitdefender产品日志

    • 关键磁盘扇区

    • Windows Defender日志(如已选择)

  • URL链接

    从各类来源发现的URL链接将被提取并保存至列表。

  • 用户

    收集操作系统用户账户相关信息。

  • 用户组

    收集操作系统用户账户组相关信息。

  • 进程

    扫描提取以下文件的进程:

    • 启动每个进程的文件。

    • 作为模块加载到每个进程中的文件。

    • 可能的注入缓冲区

    同时扫描正在运行的驱动程序。列出所有活跃网络连接及其关联进程。

  • 注册表

    扫描可能驻留恶意软件的注册表键及其引用的文件,并对未登录用户的注册表配置单元进行扫描。

  • 组策略

    扫描组策略设置的配置、规则及脚本。

  • 程序与更新

    收集已安装程序(包括Windows通用应用)及更新的相关信息。

  • UEFI

    收集系统硬件、固件及其模块和变量的相关信息。

  • 网络

    执行以下操作:

    • 列出计算机的主机名和网络配置。

    • 收集系统代理设置。

    • 列出网络适配器和DNS服务器。

    • 列出缓存的DNS查询和ARP记录。

    • 收集近期网络连接信息(名称、类别、描述、创建时间、最后连接时间等)。

    • 列出外部IPv4和IPv6地址。

    • 解析以下站点的IPv4和IPv6地址( upgrade.bitdefender.com , nimbus.bitdefender.netwww.google.com ),使用不同DNS服务器(Bitdefender强效DNS、Cloudare DNS和Google DNS)。

    • 从Bitdefender站点( upgrade.bitdefender.com )下载网络连接数据以验证DNS服务器有效性。

    • 列出所有活跃网络连接及其关联程序。

    • 检查 C:\Windows\system32\drivers\etc\hosts 文件内容以识别潜在重定向项。

  • 浏览器

    收集浏览器设置(代理、启动URL、搜索引擎URL等),并扫描下载目录、扩展和插件。

    支持Internet Explorer、Chrome、Edge Firefox及其衍生浏览器,同时列出默认浏览器。

  • 媒体

    收集以下信息:

    • 底层磁盘信息(GPT分区表、MBR及引导扇区扫描)。

    • 各分区根目录下的高风险文件。

    • 引导管理器文件。

  • 任务

    从多源(API、注册表、XML、任务)获取计划任务并扫描引用文件。

  • 取证

    执行以下操作:

    • 解析预取文件并扫描其引用文件。

    • Superfetch文件被解析,其引用的文件被扫描。

    • 收集Windows事件日志。

    • 扫描临时文件夹中的文件。

    • 扫描浏览器下载文件夹中的文件。

    • (可选)扫描指定文件夹中的文件。

    • 扫描系统上可写共享文件夹(SMB)中的文件。

    • 从应用程序兼容性缓存(AppCompatCache)中扫描以下文件:

      • AmCache - 一个特殊的注册表配置单元。包含有关已执行文件、最近创建的快捷方式和最近安装的驱动程序的信息。

      • Recent File Cache - 包含有关已执行文件的信息。

      • FileInventory - 包含有关特定文件夹下可执行文件的信息。

      • PropCache - 包含有关系统中安装或执行的驱动程序文件的信息。

      • FullCompatReport - 包含有关系统中安装和/或运行的应用程序的信息。

    • ShimCache - 解析注册表中的特定位置,包含有关已执行文件的信息。

    • 扫描后台活动调节器(BAM)和桌面活动调节器(DAM)以获取程序执行的证据。

    • 扫描从注册表中获取的最近打开文档列表中的文件。

    • 扫描系统上的活动互斥体。

    • 从UserAssist注册表键中收集有关最近打开的可执行文件和快捷方式的信息。

    • 收集PowerShell命令历史记录和配置文件。

    • 收集远程桌面连接历史和远程桌面历史记录。

    • 从TeamViewer收集以下信息:

      • 日志

      • 连接

      • TVC配置文件

    • 扫描回收站文件,并在必要时收集版本、头部和签名信息。

    • 扫描辅助功能(粘滞键)文件。

    • 审计策略 - 收集有关系统审计的信息。

    • IconCache.db包含与应用程序相关的图标缓存信息。

    • 从AnyDesk收集以下信息:

      • 日志

      • 连接

    • 信息收集自系统资源使用监视器(SRUM),该工具保存了最近执行应用程序的各种统计信息。

    • 扫描Microsoft Exchange日志和文件。

    • 从WebCache中收集信息(文件名、URL、创建时间等),WebCache由包含各种信息的不同表组成,如网页缓存、历史记录、下载内容、Cookie等。

  • Bitdefender

    收集有关Bitdefender安全代理(如已安装)的信息:

    • 事件日志

    • 隔离文件列表

    • 扫描日志

    • 产品版本

    • 设置

    • 例外规则

    • 签名

    • 已安装模块

    • 高级威胁防护(ATC)

    • Gemma日志

    • 反馈文件

本节内容 :