如何确定恶意软件是否在自己的电脑中执行过？

文章预览

来自FreeBuf.COM 链接：http://www.freebuf.com/articles/system/144750.html * 参考来源：fireeye， FB小编Alpha_h4ck编译 很不幸，你在自己的电脑里发现了一个恶意的可执行程序！那么问题来了：这个文件到底有没有执行过? 在这篇文章中，我们会将注意力放在Windows操作系统的静态取证分析之上，并跟大家讨论一些能够帮助你回答上面那个问题的方法以及证据源，其中涉及到的四大主要的证据源包括Windows Prefetch、注册表、日志文件以及文件信息。 Windows Prefetch Windows Prefetch（Windows 预读取）是一个查找文件执行证据的好地方。根据微软的设计方案，Windows Prefetch的功能就是允许那些经常需要使用到的程序打开得更加快。默认设置下，它会在预读取文件（存储路径为”C:WindowsPrefetch”）中 ………………………………