使用KAPE自动化采集并分析Windows取证数据
KAPE(Kroll Artifact Parser and Extractor)用于获取和解析 Windows 取证所需的数据源。KAPE 是一款功能强大的免费软件分类程序,它将针对设备或存储位置,自定义获取重要的取证工件,并在几分钟内对其进行解析。由于速度快,KAPE 允许取证人员优先找到对他们的案件最关键的系统。此外,在数据采集过程中,可以查看 KAPE 生成的数据以获取线索、构建时间表等。
阅读更多Windows高级事件日志分析
Windows中有许多没有默认开启的事件日志,比如进程创建、DNS查询、文件监控、网络连接等。开启这些高级事件的日志,有助于应急响应中狩猎更多的威胁。
阅读更多