การวิเคราะห์ Timeline เป็นเครื่องมือที่มีคุณค่าสูง แต่เหมือนทุกสิ่งทุกอย่างในนิติคอมพิวเตอร์มันต้องใช้ฝีมือนักการตรวจสอบข้อมูลทั้งหมดที่มีเพื่อหาหลักฐานและบัญชีให้ถูกต้องของกิจกรรม เมื่อวิเคราะห์ระบบ Windows เป็นเรื่องปกติที่จะใช้ timestamps สำคัญในนิติเช่น Creation Date, Last Modified Date, Last ดับวันที่และวันที่แก้ไขครั้งสุดท้ายสำหรับ fileâ €™ Master File Table (MFT) รายการ s ปัจจัยสำคัญในการใช้ timestamps เหล่านี้คือการไม่ยึดเท่านั้นที่ประทับเวลาเดียว แต่ใช้รวม timestamps เหล่านี้ในนิติดิจิตอล รวม timestamps เหล่านี้สามารถพิสูจน์ได้ไกลที่มีประสิทธิภาพและเปิดเผยกว่า timestamp เดียวบนของตัวเอง ฉันจะใช้เพื่อแสดงตัวอย่าง นักนิติเวชได้ตรวจสอบหลักฐานระเหยเก็บระหว่างการตรวจสอบระบบเป็นกิจกรรมที่น่าสงสัย ในการตรวจสอบแฟ้มงานจัดการ, นักพบ winlogon.exe เข้าถึงไฟล์ชื่อ sdra64.exe, local.ds และ user.ds. เหล่านี้เป็นตัวชี้วัดที่มั่นคงของการประนีประนอมสำหรับการติดเชื้อ Zeus นักเริ่มแฟ้มการวิเคราะห์ระบบเพื่อกำหนดเวลาและวิธี Trojan นี้ได้ทำลายระบบ โดยดูที่รีจิสทรี timestamp แก้ไขเริ่มต้นสำหรับ sdra64.exe ที่มีนัก timestamp เริ่มแข็งสำหรับเมื่อ Zeus เริ่มวิ่งและเส้นทางเต็มไป binary

ปล. แปลโดย google translate

**Hidden Content: Check the thread to see hidden data.**