调查包数据
注意
请注意,从用户工作站收集的调查包中部分信息属于个人数据范畴。
请确保履行尽职调查义务,妥善保护敏感用户信息,并根据当地用户数据隐私法规告知用户相关收集行为。
调查包将以下日志和数据编译为可下载的归档文件:
-
Bitdefender终端安全工具 ( BEST )产品日志
-
Windows事件日志
-
系统信息
-
来自以下位置的注册表配置单元文件:
-
%SystemRoot%\System32\Config目录下的注册表文件:SOFTWARE, SYSTEM, DEFAULT, DRIVERS, SAM, SECURITY(包含.LOG1和.LOG2文件) -
%SystemDrive%\Users目录下的用户注册表文件:NTUSER.DAT, NTUSER.DAT.LOG1, NTUSER.DAT.LOG2
-
-
amcache (
%SystemRoot%\AppCompat\Programs\Amcache.hve) -
shimcache (
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache) -
prefetch (
C:\WINDOWS\Prefetch) -
网络信息:
-
活动网络连接 (
C:\WINDOWS\system32\netstat.exe -abno) -
地址解析协议缓存 (
C:\WINDOWS\system32\arp.exe -a) -
DNS缓存 (
C:\WINDOWS\system32\ipconfig.exe /displaydns) -
SMB入站会话 (
C:\WINDOWS\system32\net.exe session) -
SMB出站会话:
-
HKEY_USERS\S-1-5-21-1272178354-3831401975-2086234833-500\Network -
HKEY_USERS\S-1-5-21-1272178354-3831401975-2086234833-1001\Network -
HKEY_USERS\S-1-5-21-1272178354-3831401975-2086234833-504\Network
-
-
防火墙日志:
-
C:\WINDOWS\system32\cmd.exe/C"for/f"tokens=2delims="%Fin('Get-NetFirewallProfile^|findstrFileName')docmd/Cxcopy/F/Y/Q"%F""C:\ProgramData\Microsoft\WindowsDefenderAdvancedThreatProtection\Temp\CollectedData\913d3b5c-9d98-447d-a554-40a381104d01\..\"&cmd/Cmove"C:\ProgramData\Microsoft\WindowsDefenderAdvancedThreatProtection\Temp\CollectedData\913d3b5c-9d98-447d-a554-40a381104d01\..\pfirewall.log""C:\ProgramData\Microsoft\WindowsDefenderAdvancedThreatProtection\Temp\CollectedData\913d3b5c-9d98-447d-a554-40a381104d01\NetworkConnections\pfirewall.log""
-
-
-
临时目录文件(列出所有用户和系统的详细信息):
-
dir /a /n /q /r /s
-
-
计划任务(
C:\WINDOWS\system32\schtasks.exe /query /v /fo CSV) -
PowerShell历史记录(如启用)
-
网络缓存(
%LOCALAPPDATA%\Microsoft\Windows\WebCache) -
Windows Defender支持日志:
-
C:\WINDOWS\system32\cmd.exe/C""%ProgramFiles%\WindowsDefender\mpcmdrun.exe"-GetFiles©"%programdata%\Microsoft\WindowsDefender\Support\MPSupportFiles.cab""C:\ProgramData\Microsoft\WindowsDefenderAdvancedThreatProtection\Temp\CollectedData\913d3b5c-9d98-447d-a554-40a381104d01\WdSupportLogs""
-
-
用户和组(列出所有本地用户和组):
-
netuser;netlocalgroup -
组成员列表:
for/f"delims="%xin('netlocalgroup^|find""')donetlocalgroup"%x" -
当前登录用户:
queryuser
-
-
SRUDB:
-
C:\Windows\System32\sru
-
-
后台活动调节器:
-
HKLM\SYSTEM\ControlSet001\Services\bam
-
-
WMI存储库:
-
%windir%System32\Wbem\Repository
-
-
CSV格式的取证数据收集报告:
-
CSV表头: | 时间戳 | 名称 | 命令 | 命令执行状态 | 命令退出码 | 目标路径 |
-
备注
取证数据收集操作将跳过被锁定或不存在的项目。根据操作系统版本和系统配置,部分项目可能缺失或无法采集。
将创建一个包含两个文件夹的归档文件:
-
SupportTool (包含来自 BEST 客户端的基础日志)
-
ForensicArtefacts
ForensicArtefacts内容为包含表头"当前时间,命令名称,命令行,状态,错误,输出文件"的CSV文件及以下文件夹:
自启动项和服务
|
命令 |
输出文件 |
|---|---|
|
|
systemctl单元文件.txt |
|
|
systemd服务文件描述.txt |
|
|
已加载的systemd单元.txt |
|
|
rc文件夹列表.txt |
|
|
init文件列表.txt |
|
|
cron文件夹列表.txt |
从上述列表文件中复制所有文件和文件夹
|
|
所有用户的rc文件.txt |
|
从"所有用户的rc文件.txt"中复制文件 |
文件格式为"<用户> <*rc>" |
网络信息
|
命令 |
输出文件 |
|---|---|
|
|
iptables -t nat -L.txt |
|
|
iptables -vnL.txt |
|
|
sockstat.txt |
|
|
arp.txt |
|
|
route.txt |
|
|
dev.txt |
如果 netstat 已 安装 :
|
命令 |
输出文件 |
|---|---|
|
|
netstat -p.txt |
|
|
netstat -s.txt |
|
|
netstat -ie.txt |
|
|
netstat -tulpn.txt |
如果 未安装 ,则使用备用命令集:
|
命令 |
输出文件 |
|---|---|
|
|
snmp计数器.txt |
|
|
程序及对应套接字.txt |
|
|
所有TCP和UDP v6连接.txt |
如果 ifconfig 已 安装 则执行:
|
|
ifconfig.txt |
如果 未安装 ,则执行:
|
|
接口计数器及IP地址.txt |
各类系统信息片段
|
命令 |
输出文件 |
|---|---|
|
|
活跃用户.txt |
|
|
用户及登录时间.txt |
|
|
uname -a.txt |
|
|
最近登录用户及远程IP地址.txt |
|
|
lshw.txt |
|
|
dmesg.txt |
如果 lsb_release 已 安装 :
|
|
lsb_release.txt |
如果 未安装 :
|
|
os-release.txt |
证书
若以下任一目录存在,其内容将被复制到证书目录:
-
/etc/ssl/certs
-
/etc/pki/tls/certs
-
/etc/pki/CA/certs
各类文件及信息
|
命令 |
输出文件 |
|---|---|
|
|
所有用户的bash历史记录文件.txt |
|
从"所有用户rc文件.txt"中复制文件 |
文件格式"<用户> <.bash_history>" |
以下文件将被复制到文件夹中:
-
/etc/host*
-
/etc/passwd
-
/etc/group
-
/etc/login.defs
-
/etc/sudoers*
-
/etc/shells
-
/etc/apt/sources.list*
-
/var/log/syslog
-
/var/log/messages
-
/var/log/auth.log
-
/var/log/secure
-
/var/log/boot.log
-
/var/log/utmp
-
/var/log/wtmp
-
/var/log/kern.log
-
/var/log/faillog
-
/var/log/cron
文件列表
|
命令 |
输出文件 |
|---|---|
|
|
递归列表.txt |
|
|
递归树.txt |
|
|
recursivetree2.txt |
|
|
sha256sum for files under 5M.txt |
已安装的软件包
以下命令仅在工具存在时执行:
|
命令 |
输出文件 |
|---|---|
|
|
apt list.txt |
|
|
dpkg list.txt |
|
|
dnf list.txt |
|
|
yum list.txt |
|
|
rpm list.txt |
|
|
zypper list.txt |
服务特定日志
-
apache日志
如果apache日志直接位于"/var/log/"目录下,则以"httpd-access.log"或"httpd-error.log"开头的所有文件将被复制到"服务特定日志"文件夹中。
如果apache在"/var/log/"目录下没有日志文件,且存在以下任一文件夹,则它们将被复制到"服务特定日志"文件夹中。
-
/var/log/httpd
-
/var/log/apache2
-
-
nginx日志
命令
输出文件
grep"_log"/etc/nginx/nginx.conf|awk'{print$2}'|tr-d\;nginx日志路径.txt
复制与"nginx日志路径.txt"中对应的所有文件
它们在nginx文件夹中的具体文件名
-
VPN日志 (openvpn、wireguard、ipsec/openswan等)
命令
输出文件
cat/var/log/syslog*|grep-ivpnVPN日志.txt
将创建包含以下内容的归档文件:
-
一组通用 最佳 日志(支持工具归档)
-
自动启动项 :
-
启动代理
-
/Library/LaunchAgents/*
-
/System/Library/LaunchAgents/*
-
%%users.homedir%%/Library/LaunchAgents/*
-
-
启动守护进程
-
/Library/LaunchDaemons/*
-
/System/Library/LaunchDaemons/*
-
-
启动项
-
/Library/StartupItems/*
-
/System/Library/StartupItems/*
-
-
定时任务
-
登录项
-
-
浏览器痕迹:
-
首选项
-
历史记录
-
下载内容
-
扩展程序
-
书签
-
Info.plist文件
-
-
进程列表
-
网络信息:
-
开放/监听连接(netstat -blant)
-
开放/监听连接(netstat -blant)
-
/private/etc/pf.anchors
-
/private/etc/pf.conf
-
/private/etc/hosts
-
/private/var/run/resolv.conf
-
/Library/Preferences/SystemConfiguration/com.apple.airport.preferences.plist
-
/Library/Preferences/SystemConfiguration/NetworkInterfaces.plist
-
-
系统信息
-
系统分析器
-
.bash_history及.bash_sessions(所有用户)
-
/private/var/log/asl
-
/private/var/log/install.log
-
-
递归文件列表:
-
/Applications
-
/Library
-
/System/Library/Caches
-
../Library/Caches(所有用户)
-
../Desktop(所有用户)
-
../Documents(所有用户)
-
../Downloads(所有用户)
-