zhaoyong631的博客

ActivityCache 是 Windows 系统中高价值的取证对象，能够为行为分析、威胁检测和事件回溯提供关键证据。其结构化数据（SQLite 数据库）和丰富的上下文信息，使其在复杂案件调查中具有不可替代的作用。是一个关键的取证数据源，记录了用户行为、应用使用记录和系统交互信息。若数据库文件被加密或损坏，可通过内存取证工具（如 Volatility）提取未加密的缓存片段。在数字取证中，Windows 系统的。使用 SQLite 工具（如。

Windows 登录类型（Logon Type）用于标识用户通过何种方式登录到系统，在安全审计日志（如Windows事件日志）中记录不同的登录行为。（Event ID 4624 或 4625），其中。理解登录类型有助于分析安全事件和排查问题。中，登录事件通常记录在。

微软产品的专门名称和官方视频教程

当 Windows Defender 的配置（如实时保护、扫描策略、排除项等）被手动或通过策略修改时，系统会记录此事件。

如果遇到权限问题，请在PowerShell快捷方式上右键选择。

是 Windows 系统中的应用程序控制工具，通过定义规则限制用户或组可以运行的应用程序（EXE、脚本、安装包等）。它适用于企业环境，帮助管理员防止未授权软件的执行，提升终端安全。

WDAC（Windows Defender Application Control）是微软推出的一种应用程序控制机制，主要用于提升Windows系统的安全性。

SIFT 工作站是一系列免费的开源事件响应和取证工具，旨在在各种环境中执行详细的数字取证检查。它可以匹配任何当前的事件响应和取证工具套件。SIFT 表明，高级事件响应能力和深入的数字取证技术可以使用免费提供且经常更新的尖端开源工具来实现。

Living Off The Land Drivers（LOTL Drivers）是"Living Off The Land"（LOTL）攻击技术在操作系统驱动层面的延伸，指攻击者通过滥用目标系统中已存在的合法驱动程序（尤其是存在漏洞或设计缺陷的驱动）来实现恶意目的。这类驱动通常由微软或第三方厂商签名认证，具备系统内核级权限，因此可被攻击者利用来绕过安全检测、提权或执行隐蔽操作。LOTL Drivers代表了高级威胁中"合法武器化"的终极形态，其内核级权限和隐蔽性使其成为APT攻击的核心工具。

日志分析中grep的高级用法

在 Microsoft Defender for Endpoint (MDE) Advanced Hunting 中，可以使用 KQL (Kusto Query Language) 查询网络连接，并使用 Timechart (时间序列图) 进行图形化展示。

Microsoft Purview 是一个强大的工具，适用于所有企业需要进行数据治理、敏感数据保护和合规管理的场景。它帮助企业追踪数据流动、加强数据安全、并确保数据符合合规性要求。通过 Purview，企业可以实现更高效的数据管理，并降低因数据泄露或不合规行为带来的风险。是微软的一款综合性数据治理和合规管理工具，它的核心功能是帮助企业保护敏感数据，防止数据泄露，并确保数据符合相关法规与合规要求。数据治理的目标是确保企业能够有效地管理数据，增强数据的可见性和可追踪性，并且能够高效利用这些数据。