Документ содержит информацию о запуске приложений с использованием механизма prefetch в Windows, подробно описывая формат имен файлов и их связь с исполняемыми файлами и аргументами командной строки. Также упоминаются временные файлы интернета, куки и история браузера, что может быть полезно для анализа системной безопасности. В заключение, отмечается важность проведения регулярных аудитов систем и ограничения прав пользователей для повышения безопасности.

1. abeshkov@microsoft.com

4. Запуск приложений с Prefetch
•Имя файла записывается в формате C:WINDOWSPrefetch
•
NOTEPAD.EXE-AF43252301.PF
Имя исполняемого файла
Хэш из данных EXE и аргументов командной строки
Расширение Prefetch файлов
Для одного того же EXE будут создаваться разные PF файлы в зависимости от параметров передаваемых в командной строке

13. Feature
Location
Temporary Internet Files
C:UsersuserAppDataLocalMicrosoftWindows
Temporary Internet FilesContent.IE5
Cookies
C:UsersuserAppDataRoamingMicrosoftWindows
Cookies
Visited
C:Users<user>AppDataLocalMicrosoftWindows
HistoryHistory.IE5MShist01<date>
History
C:UsersuserAppDataLocalMicrosoftWindows
HistoryHistory.IE5

18. Без криминалистики могли прийти к ложным заключениям!

21. Идентифицируете важные
системы. Проводите
регулярный аудит этих
систем
Ограничьте набор
запускаемых приложений
с помощью Applcoker или
SRP
Ограничьте права
стандартного
пользователя
Включите Volume Shadow Copy
Придерживайтесь
рекомендаций вендора
системы в сфере ИБ

22. E-mail:
abeshkov@microsoft.com
Twitter:
@abeshkov