分类目录应急响应

KAPE(Kroll Artifact Parser and Extractor)用于获取和解析 Windows 取证所需的数据源。KAPE 是一款功能强大的免费软件分类程序，它将针对设备或存储位置，自定义获取重要的取证工件，并在几分钟内对其进行解析。由于速度快，KAPE 允许取证人员优先找到对他们的案件最关键的系统。此外，在数据采集过程中，可以查看 KAPE 生成的数据以获取线索、构建时间表等。

Windows中有许多没有默认开启的事件日志，比如进程创建、DNS查询、文件监控、网络连接等。开启这些高级事件的日志，有助于应急响应中狩猎更多的威胁。

在进行取证调查时，Windows 回收站被视为重要的证据来源，因为通过文件资源管理器和任何回收站感知程序删除的任何项目一开始都将放入回收站。回收站保留与已删除项目相关的有价值的信息，例如已删除项目的名称、删除前项目的原始位置、已删除项目的大小以及删除项目的日期和时间。

当用户使用 RDP 连接到另一个系统时，小尺寸（位图）图像会存储在其 RDP 配置文件中，这样一旦要在会话中使用相同的图像，就可以更快地获取/拉取。如果连接速度较慢，则整体 RDP 会话体验会得到增强。对缩略图取证有时可以帮助我们识别用户在其 RDP 会话中看到的内容。

SRUM 被认为是取证信息的金矿，因为它包含特定 Windows 系统上发生的所有活动。SRUM 跟踪和记录程序执行、功耗、网络活动以及更多信息，即使源已被删除也可以检索这些信息。此类信息使取证人员能够深入了解系统上以前发生的活动和事件。

Jumplists跳转列表的维护记录被认为是调查期间证据信息的重要来源。对跳转列表文件的分析可以提供有关用户在系统上的历史活动的有价值的信息，例如文件创建、访问和修改。取证人员可以利用从跳转列表文件中提取的数据来构建用户活动的时间线。

Windows取证的基础主要包括：

• Windows Live Response（通过powershell命令收集当前系统信息）
• Windows 文件系统

Redline是 FireEye 的首款免费端点安全工具，为用户提供主机调查功能，通过内存和文件分析以及威胁评估配置文件的开发来查找恶意活动的迹象。使用 Redline 收集、分析和过滤端点数据并执行 IOC 分析和命中审查。Redline还具有漂亮的 GUI，并且可以非常整齐地对数据进行分类。