跳至主要内容
  • 本地部署解决方案
  • 附录
  • 收集日志详情

收集日志详情

收集日志时,会获取以下对象的详细信息:

  • 文件

    系统会处理特殊文件夹中的文件(Windows文件夹、桌面、快速启动、计划任务和启动项)。这些是恶意软件通常存放的文件夹。文件通过多种模式收集,并采用反Rootkit技术以绕过高级恶意软件防护。

    对于每个文件,将收集以下可用信息:

    • 版本信息。

    • 数字签名详情。

    • 头部字段。

    仅收集具有以下扩展名的文件:

    • .exe

    • .dll

    • .sys

    • .com

    • .scr

    • .pif

    • .hta

    • .js

    • .jse

    • .vbs

    • .vbe

    • .bat

    • .cmd

    • .ps1

    • .apk

    • .xpi

    • .xpt

    • .cab

    • .msi

    • .jar

    • .swf

    • .reg

    • .lnk

    同时收集以下文件:

    • 基于内容的可执行文件和脚本文件

    • 备用数据流

    • WMI脚本

    • 计划任务文件

    • 内存转储

    • UEFI模块

    • Windows事件日志中的内容/脚本

    • Bitdefender产品日志

    • 关键磁盘扇区

    • Windows Defender日志(如已选择)

  • URL地址

    从各类来源发现的URL地址会被提取并保存至列表中。

  • 用户

    收集操作系统用户账户相关信息。

  • 用户组

    收集有关操作系统用户账户组的信息。

  • 进程

    扫描提取以下文件的进程:

    • 启动每个进程的文件。

    • 作为模块加载到每个进程中的文件。

    • 可能的注入缓冲区

    同时扫描正在运行的驱动程序。列出所有活跃的网络连接及其关联进程。

  • 注册表

    扫描可能驻留恶意软件的注册表项及其引用的文件,并对未登录用户的注册表配置单元进行扫描。

  • 组策略

    扫描由组策略设置的配置、规则及脚本。

  • 程序与更新

    收集已安装程序(包括Windows通用应用)及更新的相关信息。

  • UEFI

    收集系统硬件、固件及其模块和变量的相关信息。

  • 网络

    执行以下操作:

    • 列出计算机的主机名和网络配置。

    • 收集系统代理信息。

    • 列出网络适配器与DNS服务器。

    • 列出缓存的DNS查询和ARP记录。

    • 收集近期网络连接信息(名称、类别、描述、创建时间、最后连接时间等)。

    • 列出外部IPv4和IPv6地址。

    • 通过不同DNS服务器(Bitdefender强DNS、Cloudare DNS和Google DNS)解析以下站点的IPv4和IPv6地址: upgrade.bitdefender.com , nimbus.bitdefender.netwww.google.com )。

    • 网络连接及来自Bitdefender网站( upgrade.bitdefender.com )的数据会被下载以验证DNS服务器的有效性。

    • 列出所有活跃网络连接及其关联程序。

    • 系统会列出 C:\Windows\system32\drivers\etc\hosts 文件内容以检测可能的重定向器。

  • 浏览器

    收集浏览器设置(代理、启动URL、搜索引擎URL等),并扫描下载目录、扩展插件。

    支持Internet Explorer、Chrome、Edge Firefox及其衍生浏览器,同时列出默认浏览器。

  • 媒体

    收集以下信息:

    • 底层磁盘信息(GPT分区表、MBR及引导扇区扫描)。

    • 各分区根目录下的高风险文件。

    • 引导管理器文件。

  • 任务

    从多源(API、注册表、XML、任务计划)获取计划任务,并扫描其引用文件。

  • 取证

    执行以下操作:

    • 解析预取文件并扫描其引用文件。

    • 解析超级预取文件并扫描其引用文件。

    • 收集Windows事件日志。

    • 扫描临时文件夹中的文件。

    • 扫描浏览器下载文件夹中的文件。

    • (可选)扫描指定文件夹中的文件。

    • 扫描系统内可写共享文件夹(SMB)中的文件。

    • 从应用程序兼容性缓存(AppCompatCache)扫描以下文件:

      • AmCache - 特殊注册表配置单元,包含已执行文件、近期创建的快捷方式及新安装驱动的信息。

      • 最近文件缓存 - 包含已执行文件的信息。

      • 文件清单 - 记录特定文件夹下可执行文件的信息。

      • PropCache - 包含系统中已安装或执行的驱动程序文件信息。

      • FullCompatReport - 包含系统中已安装和/或运行的应用程序信息。

    • ShimCache - 解析注册表中的特定位置,包含已执行文件的信息。

    • 扫描后台活动调节器(BAM)和桌面活动调节器(DAM)以获取程序执行证据。

    • 扫描从注册表中获取的最近打开文档列表中的文件。

    • 扫描系统中的活动互斥体。

    • 从UserAsisst注册表项收集最近打开的可执行文件和快捷方式信息。

    • 收集PowerShell命令历史记录和配置文件。

    • 收集远程桌面连接历史和远程桌面历史记录。

    • 从TeamViewer收集以下信息:

      • 日志

      • 连接记录

      • TVC配置文件

    • 扫描回收站文件,必要时收集版本、头文件和签名信息。

    • 扫描辅助功能(粘滞键)相关文件。

    • 审计策略 - 收集系统审计相关信息。

    • IconCache.db包含与应用程序相关的图标缓存信息。

    • 从AnyDesk收集以下信息:

      • 日志

      • 连接记录

    • 从系统资源使用监视器(SRUM)收集信息,该监视器保存最近执行应用程序的各种统计信息。

    • 扫描Microsoft Exchange日志和文件。

    • 从WebCache收集信息(文件名、URL、创建时间等),WebCache由包含各种信息的不同表组成,如网页缓存、历史记录、下载、cookie等。

  • Bitdefender

    收集Bitdefender安全代理(如安装)的相关信息:

    • 事件日志

    • 隔离文件列表

    • 扫描日志

    • 产品版本

    • 设置

    • 例外规则

    • 签名

    • 已安装模块

    • 高级威胁控制 (ATC)

    • Gemma日志

    • 反馈文件

本节内容 :