Merge pull request #2 from HSR-Cheat-Sheets/dev

edit content

content/05-digital_forensics.tex

@@ -136,13 +136,14 @@ \subsubsection{Prefetch}
     \item ist grundsätzlich auf Servern deaktiviert
 \end{itemize}
 
-\subsubsection{AMCache}
+\subsubsection{Amcache}
 \begin{itemize}
     \item \lstinline|C:\Windows\AppCompat\Programs\|
     \item Registry-Hive
+    \item records the recent processes that were run and lists the path of the files that's executed which can then be used to find the executed program.
 \end{itemize}
 
-\subsubsection{SHIMCache (AppCompatCache/ Application Compatability Cache)}
+\subsubsection{Shimcache (AppCompatCache/ Application Compatability Cache)}
 \begin{itemize}
     \item \lstinline|HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache|
     \item Provides compatibility for older software running in newer versions of Windows (backward compatibility)
@@ -154,4 +155,5 @@ \subsubsection{SHIMCache (AppCompatCache/ Application Compatability Cache)}
     \end{itemize}
     \item Only written on reboot or shutdown
     \item Shimcache can be used to show executable files present on, or accessed via a given system
+    \item The Shimcache tracks metadata such as the full file path, last modified date, and file size but only contains the information prior to the system’s last startup, as current entries are stored only in memory
 \end{itemize}

content/07-incresp_fallbeispiele.tex

@@ -172,8 +172,8 @@ \subsubsection{Angreifer versuchen nicht aufzufallen}
     \item Immer Dateipfade der Prozesse überprüfen $\rightarrow$ Temp Ordner deuten tendenziell auf einen Schadprozess hin
     \item Auf ähnliche Schreibweise aufpassen
     \begin{itemize}
-        \item \lstinline|winlogon $\rightarrow$ wimlogom, win1ogo, winIogon, winiogon, winl0gon|
-        \item \lstinline|lsass $\rightarrow$ isass, laass, lamss, lass, isass, Isass|
+        \item \lstinline|winlogon| $\rightarrow$ \lstinline|wimlogom, win1ogo, winIogon, winiogon, winl0gon|
+        \item \lstinline|lsass| $\rightarrow$ \lstinline|isass, laass, lamss, lass, isass, Isass|
     \end{itemize}
 \end{itemize}
 
@@ -182,7 +182,7 @@ \subsubsection{Interesse von Lateral Movement bei IncResp}
     \item Was wurde infiziert/ ist betroffen
     \item Auf was hat er sich fokussiert (oft Tendenz Richtung DC)?
     \item Was hat er schon erreicht (z.B. Rechte)
-    \item Wie hat er sich verbreitet? -> IOCs/ Massnahmen
+    \item Wie hat er sich verbreitet? $\rightarrow$ IOCs/ Massnahmen
 \end{itemize}
 
 \subsection{Triage-Akquisition}
@@ -339,7 +339,7 @@ \subsubsection{E-Mail Header}
     \begin{itemize}
         \item MUA: Mail User Agent ist die Software zur Bearbeitung von E-Mails (E-Mail-Client)
         \item MDA: Mail Delivery Agent ist zuständig für die Bereitstellung der E-Mails an den MUA verantwortlich
-        \item MTA $\\leftrightarrow $ MTA, MTA $\rightarrow$ MDA und MUA $\rightarrow$  MTA meist über SMTP
+        \item MTA $\leftrightarrow $ MTA, MTA $\rightarrow$ MDA und MUA $\rightarrow$  MTA meist über SMTP
         \item MDA $\rightarrow$ MUA meist IMAP (früher POP)
     \end{itemize}
 \end{itemize}

style/template.tex

@@ -74,7 +74,7 @@
 %\footskip = 0pt
 
 % define color
-\definecolor{sectionColor}{HTML}{000000}
+\definecolor{sectionColor}{RGB}{140,25,95}
 \definecolor{subSectionColor}{HTML}{000000}
 \definecolor{subSubSectionColor}{HTML}{000000}
 \definecolor{codeBackground}{RGB}{245,245,245}