Windows Forensic

從第五章開始：
是了，Incident Response從「收集資料」開始，no matter administrator, first responder, incident investigator, or security consultant都是一樣的啦…
（我今天要Tools本身的Listing，最好能有Methodology的雛形出來）

Uptime可用systeminfo.exe命令來看，中文版叫「系統存留時間」

○針對每一個process，可以找到
●executable image
●其父
●執行時間（這個是CPU時間還是啟動以來的時間？）
●security context，這啥？
●存取的module/library
●使用的記憶體空間
Task Manager當然沒辦法全部都顯示出來囉
==>不過是我敗！從「檢視」選單的「選擇欄位」，可以看到不少東西咧…
==>在我的Logo1_.exe經驗，我應該要加入I/O 讀取次數的檢視才是（還有讀取位元組）
==>為何沒有「影像位置」？？？？？

現在Windows Resource Kit可以下載了（好像以前是要錢的…）
==>用「windows xp resource kit download」當關鍵字可以找到不少下載的地方…

●pulist（在Windows 2000目錄下下載），在XP上執行時會有問題…在Windows 2003 Server下載工具裡是沒有的。

●要看到process是由哪個image來的，用tlist -c會有不錯的成果（不過使用者不會高興這種command line的東西就是了
==>注意tlist是Microsoft Debugging Tools，要下載，要安裝；而在XP/2003上面有tasklist內建命令可以使用；不過tasklist沒有顯示image是誰的選項。
==>終於發現了，GUI介面的是用SysInternal的 Process Explorer（免安裝）
==>CmdLine.exe也很不錯，命令列的
==>如果是為了process的話，作者說只要pslist, listdlls, handle這三個程式就可以抓出絕大部分的資訊…
dragon: 都試過了，我覺得listdlls和handle這兩個command line的程式的資訊太多太雜了…要用一些filter才好看懂吧，我想。filter的方法作者說在chap. 8

○svchost is a generic process for running services from dynamic-linked libraries (DLLs).
這說明了svchost的用處


○抓出了特定的，可疑的process之後，那就應該看看怎麼去把「牠」的資訊抓出來，看看幹啥的
●這叫做「Process Memory」的存取啊…
●pmdump抓出來「某一個」process memory dump，可以dump到一個檔案（此時是binary）；再用ultredit或是strings來看、找
●dd可以dump所有physical memory的內容，今天看到這裡