Post #1333

ETW 取证 - 为什么使用 Windows 事件跟踪而不是 EventLog？ 文章指出了 Windows 操作系统日志中的 EventLog 在调查恶意软件感染等安全事件时的局限性，可能无法提供足够的信息。随后介绍了 ETW（Event Tracing for Windows），这是一种可以记录内核和进程生成的事件的系统，用于调试和性能监视，同时也被用于 EDR 产品和防病毒软件的检测逻辑。ETW 能够默认记录操作系统中的各种行为作为事件，因此比 EventLog 提供更多的信息。文章还探讨了如何在没有文件签名的情况下从磁盘或内存中恢复 ETW 事件，并提供了一种从内存映像中恢复 ETW 事件的方法。作者开发了一个名为 etw-scan 的 Volatility3 插件，用于从内存映像中恢复 ETW 事件，并提供了该插件的 GitHub 链接。 https://blogs.jpcert.or.jp/en/2024/11/etw_forensics.html