Заметки DFIRа

⛓Одним из индикаторов внедрения кода в процесс является наличие секции памяти с правами PAGE_EXECUTE_READWRITE. Это связано с тем, что внедрение кода часто требует создания секций памяти с правами на выполнение и запись, что не является типичным для стандартных приложений. Секции памяти с правами PAGE_EXECUTE_READWRITE могут указывать на то, что в процесс был внедрён сторонний код.

⛓Удаление логов Windows из командной строки. Для очистки журналов Windows из командной строки используется утилита wevtutil.exe.

⛓Наличие следов запуска файла psexecsvc.exe в артефакте AmCache.hve может говорить о том, что на системе был использован инструмент PSEXEC для выполнения удаленных команд или запуска процессов.

⛓Артефакт AmCache.hve содержит информацию о первом времени выполнения файлов, включая psexecsvc.exe, что указывает на то, что на машине была запущена полезная нагрузка с помощью PsExec