diff --git a/content/05-digital_forensics.tex b/content/05-digital_forensics.tex index 356618e..6ef0182 100644 --- a/content/05-digital_forensics.tex +++ b/content/05-digital_forensics.tex @@ -136,13 +136,14 @@ \subsubsection{Prefetch} \item ist grundsätzlich auf Servern deaktiviert \end{itemize} -\subsubsection{AMCache} +\subsubsection{Amcache} \begin{itemize} \item \lstinline|C:\Windows\AppCompat\Programs\| \item Registry-Hive + \item records the recent processes that were run and lists the path of the files that's executed which can then be used to find the executed program. \end{itemize} -\subsubsection{SHIMCache (AppCompatCache/ Application Compatability Cache)} +\subsubsection{Shimcache (AppCompatCache/ Application Compatability Cache)} \begin{itemize} \item \lstinline|HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCompatCache| \item Provides compatibility for older software running in newer versions of Windows (backward compatibility) @@ -154,4 +155,5 @@ \subsubsection{SHIMCache (AppCompatCache/ Application Compatability Cache)} \end{itemize} \item Only written on reboot or shutdown \item Shimcache can be used to show executable files present on, or accessed via a given system + \item The Shimcache tracks metadata such as the full file path, last modified date, and file size but only contains the information prior to the system’s last startup, as current entries are stored only in memory \end{itemize} \ No newline at end of file diff --git a/content/07-incresp_fallbeispiele.tex b/content/07-incresp_fallbeispiele.tex index db7f3de..0ec2424 100644 --- a/content/07-incresp_fallbeispiele.tex +++ b/content/07-incresp_fallbeispiele.tex @@ -172,8 +172,8 @@ \subsubsection{Angreifer versuchen nicht aufzufallen} \item Immer Dateipfade der Prozesse überprüfen $\rightarrow$ Temp Ordner deuten tendenziell auf einen Schadprozess hin \item Auf ähnliche Schreibweise aufpassen \begin{itemize} - \item \lstinline|winlogon $\rightarrow$ wimlogom, win1ogo, winIogon, winiogon, winl0gon| - \item \lstinline|lsass $\rightarrow$ isass, laass, lamss, lass, isass, Isass| + \item \lstinline|winlogon| $\rightarrow$ \lstinline|wimlogom, win1ogo, winIogon, winiogon, winl0gon| + \item \lstinline|lsass| $\rightarrow$ \lstinline|isass, laass, lamss, lass, isass, Isass| \end{itemize} \end{itemize} @@ -182,7 +182,7 @@ \subsubsection{Interesse von Lateral Movement bei IncResp} \item Was wurde infiziert/ ist betroffen \item Auf was hat er sich fokussiert (oft Tendenz Richtung DC)? \item Was hat er schon erreicht (z.B. Rechte) - \item Wie hat er sich verbreitet? -> IOCs/ Massnahmen + \item Wie hat er sich verbreitet? $\rightarrow$ IOCs/ Massnahmen \end{itemize} \subsection{Triage-Akquisition} @@ -339,7 +339,7 @@ \subsubsection{E-Mail Header} \begin{itemize} \item MUA: Mail User Agent ist die Software zur Bearbeitung von E-Mails (E-Mail-Client) \item MDA: Mail Delivery Agent ist zuständig für die Bereitstellung der E-Mails an den MUA verantwortlich - \item MTA $\\leftrightarrow $ MTA, MTA $\rightarrow$ MDA und MUA $\rightarrow$ MTA meist über SMTP + \item MTA $\leftrightarrow $ MTA, MTA $\rightarrow$ MDA und MUA $\rightarrow$ MTA meist über SMTP \item MDA $\rightarrow$ MUA meist IMAP (früher POP) \end{itemize} \end{itemize} diff --git a/main.pdf b/main.pdf index 79150b3..e9f194d 100644 Binary files a/main.pdf and b/main.pdf differ diff --git a/style/template.tex b/style/template.tex index a109ec5..8e11780 100644 --- a/style/template.tex +++ b/style/template.tex @@ -74,7 +74,7 @@ %\footskip = 0pt % define color -\definecolor{sectionColor}{HTML}{000000} +\definecolor{sectionColor}{RGB}{140,25,95} \definecolor{subSectionColor}{HTML}{000000} \definecolor{subSubSectionColor}{HTML}{000000} \definecolor{codeBackground}{RGB}{245,245,245}