利用NTFS Streams进行溯源
探索 NTFS 数据流的原理与实践,结合实际案例进行文件溯源分析,深入操作系统底层细节。
从互联网下载一些可执行文件并执行它们时,您可能已经看到过此告警。
Microsoft Defender SmartScreen 是一种安全机制,旨在保护最终用户免遭潜在恶意应用程序的运行。
MoTW(Web 标记)是一种 NTFS 备用数据流,名称为 Zone.Identifier,从互联网下载文件时会自动创建该数据流以及下载文件的 URL。
这种设计使得追溯文件来源变得更加便捷。通过分析Zone.Identifier数据流,可以轻松地获取下载文件的URL信息,从而追踪文件的来源。例如,如果发现一个可疑文件,并怀疑其来源不明,可以检查文件的Zone.Identifier数据流,以获取下载 URL 并进一步调查其来源。
