利用NTFS Streams进行溯源
type
status
date
slug
summary
tags
category
icon
password
本文将介绍如何利用NTFS Streams中的Zone.Identifier数据流,结合Microsoft Defender SmartScreen安全机制,有效追溯从互联网下载的文件的原始URL
从互联网下载一些可执行文件并执行它们时,您可能已经看到过此告警。
Microsoft Defender SmartScreen 是一种安全机制,旨在保护最终用户免遭潜在恶意应用程序的运行。
MoTW(Web 标记)是一种 NTFS 备用数据流,名称为 Zone.Identifier,从互联网下载文件时会自动创建该数据流以及下载文件的 URL。
这种设计使得追溯文件来源变得更加便捷。通过分析Zone.Identifier数据流,可以轻松地获取下载文件的URL信息,从而追踪文件的来源。例如,如果发现一个可疑文件,并怀疑其来源不明,可以检查文件的Zone.Identifier数据流,以获取下载 URL 并进一步调查其来源。
Loading...