キーロギングの力を明らかにする: Revealer キーロガーのハンティング from securityboulevard.com
security summary
このハントの目的は、キーロガーが持続性を得るために一般的な方法を使用しているかどうかを検出するクエリを使用することでした。
しかし、キーロガーに関連して存在する可能性のあるものを検出するために、イベント コード 3 と rvlkl という用語が使用されています。
これは、キーロガーが結果をリモート エンティティに漏らしていることを示している可能性があります。
このクエリは、キーロガーに関連するレジストリ キーの変更をキャプチャするように設計されています。
これは、永続性仮説セクションの下の最初のクエリで確認できます。
そのクエリで結果が返されなかった場合は、「ズームアウト」して特定の用語をいくつか削除しても、「ファイルの作成」と「レジストリ キー」の変更アクティビティに集中できます。
コメント