跳至主内容
  • 合作伙伴
  • 附录
  • 收集日志详情

收集日志详情

收集日志时,会采集以下对象的详细信息:

  • 文件

    对特殊文件夹(Windows文件夹、桌面、快速启动、计划任务及启动项)中的文件进行处理。这些是恶意软件常驻的目录。文件通过多种模式采集,并运用反Rootkit技术以绕过高级恶意软件的防护。

    每个文件(若存在)将收集以下信息:

    • 版本信息

    • 数字签名详情

    • 头部字段

    仅收集以下扩展名的文件:

    • .exe

    • .dll

    • .sys

    • .com

    • .scr

    • .pif

    • .hta

    • .js

    • .jse

    • .vbs

    • .vbe

    • .bat

    • .cmd

    • .ps1

    • .apk

    • .xpi

    • .xpt

    • .cab

    • .msi

    • .jar

    • .swf

    • .reg

    • .lnk

    同时还会收集以下文件:

    • 基于内容的可执行文件和脚本文件

    • 备用数据流

    • WMI脚本

    • 计划任务文件

    • 内存转储

    • UEFI模块

    • Windows事件日志中的内容/脚本

    • Bitdefender产品日志

    • 关键磁盘扇区

    • Windows Defender日志(如已选择)

  • URL地址

    从各类来源发现的URL地址会被提取并保存至列表中。

  • 用户

    收集操作系统用户账户相关信息。

  • 用户组

    收集操作系统用户账户组相关信息。

  • 进程

    扫描提取以下文件的进程:

    • 启动每个进程的文件。

    • 作为模块加载到每个进程中的文件。

    • 可能的注入缓冲区

    同时扫描运行中的驱动程序。列出所有活跃网络连接及其关联进程。

  • 注册表

    扫描可能驻留恶意软件的注册表键及其引用的文件。同时扫描未登录用户的注册表配置单元。

  • 组策略

    扫描组策略设置的规则、配置及脚本。

  • 程序与更新

    收集已安装程序(包括Windows通用应用)和更新的相关信息。

  • UEFI

    收集系统硬件、固件及其模块和变量的相关信息。

  • 网络

    执行以下操作:

    • 列出计算机的主机名和网络配置。

    • 收集系统代理信息。

    • 列出网络适配器和DNS服务器。

    • 列出缓存的DNS查询和ARP记录。

    • 收集近期网络连接信息(名称、类别、描述、创建时间、最后连接时间等)。

    • 列出外部IPv4和IPv6地址。

    • 部分站点的IPv4和IPv6地址( upgrade.bitdefender.com , nimbus.bitdefender.netwww.google.com )通过不同DNS服务器(Bitdefender强效DNS、Cloudare DNS和Google DNS)解析。

    • 从Bitdefender站点( upgrade.bitdefender.com )下载网络连接性和数据以验证DNS服务器的有效性。

    • 列出所有活跃网络连接及其关联程序。

    • 检查 C:\Windows\system32\drivers\etc\hosts 文件内容以识别潜在重定向项。

  • 浏览器

    收集浏览器设置(代理、启动URL、搜索引擎URL等),并扫描下载目录、扩展插件。

    支持Internet Explorer、Chrome、Edge Firefox及其衍生浏览器,同时列出默认浏览器。

  • 媒体

    收集以下信息:

    • 底层磁盘信息(GPT分区表、MBR及引导扇区扫描)。

    • 各分区根目录下的高风险文件。

    • 引导管理器文件。

  • 任务

    扫描来自不同来源(API、注册表、XML、任务)的计划任务及其引用文件。

  • 取证

    执行以下操作:

    • 解析预取文件并扫描其引用文件。

    • 解析超级预取文件并扫描其引用文件。

    • 收集Windows事件日志。

    • 扫描临时文件夹中的文件。

    • 扫描浏览器下载文件夹中的文件。

    • (可选)扫描指定文件夹中的文件。

    • 系统上可写入的共享文件夹(SMB)中的文件会被扫描。

    • 以下文件将从应用程序兼容性缓存(AppCompatCache)中扫描:

      • AmCache - 一个特殊的注册表配置单元。它包含有关已执行文件、最近创建的快捷方式以及最近安装的驱动程序的信息。

      • Recent File Cache - 包含有关已执行文件的信息。

      • FileInventory - 包含有关特定文件夹下的可执行文件的信息。

      • PropCache - 包含有关系统中已安装或执行的驱动程序文件的信息。

      • FullCompatReport - 包含有关系统中已安装和/或正在运行的应用程序的信息。

    • ShimCache - 解析注册表中的特定位置,包含有关已执行文件的信息。

    • 后台活动调节器(BAM)和桌面活动调节器(DAM)会被扫描以查找程序执行的证据。

    • 从注册表中获取的最近打开文档列表中的文件会被扫描。

    • 系统上的活动互斥体会被扫描。

    • 从UserAssist注册表键中收集有关最近打开的可执行文件和快捷方式的信息。

    • 收集PowerShell命令历史和配置文件。

    • 收集远程桌面连接历史和远程桌面历史。

    • 从TeamViewer中收集以下信息:

      • 日志

      • 连接

      • TVC配置文件

    • 扫描回收站文件,并在必要时收集版本、头部和签名信息。

    • 扫描辅助功能(粘滞键)文件。

    • 审计策略 - 收集有关系统审计的信息。

    • IconCache.db包含与应用程序相关的图标缓存信息。

    • 从AnyDesk中收集以下信息:

      • 日志

      • 连接

    • 从系统资源使用监视器(SRUM)中收集信息,该监视器保存有关最近执行的应用程序的各种统计信息。

    • 扫描Microsoft Exchange日志和文件。

    • 从WebCache中收集信息(文件名、URL、创建时间等),WebCache由包含各种信息的不同表组成,如网页缓存、历史记录、下载、cookie等。

  • Bitdefender

    收集有关Bitdefender安全代理(如果已安装)的信息:

    • 事件日志

    • 隔离文件列表

    • 扫描日志

    • 产品版本

    • 设置

    • 例外规则

    • 签名

    • 已安装模块

    • 高级威胁控制(ATC)

    • Gemma日志

    • 反馈文件

本节内容 :