abhinavkishor9/wazuh-threat-hunting-lab20-windows-prefetch-investigation
GitHub: abhinavkishor9/wazuh-threat-hunting-lab20-windows-prefetch-investigation
该项目演示了如何利用 Windows Prefetch 工件结合 Sysmon 和 Wazuh 进行 DFIR 威胁狩猎,验证应用程序执行并重建取证时间线。
Stars: 0 | Forks: 0
# wazuh-threat-hunting-lab20-windows-prefetch-investigation
## 概述
Windows Prefetch 是一种取证工件,记录有关已执行应用程序的信息,以提高应用程序的启动性能。在数字取证调查期间,即使原始可执行文件已被删除,Prefetch 文件也能帮助分析师确定某个可执行文件是否曾运行过。
本实验演示了如何调查 Windows Prefetch 工件,并将其与 Sysmon Event ID 1(进程创建)和 Wazuh Threat Hunting 进行关联。
# 实验目标
- 理解 Windows Prefetch 的作用
- 执行常见的 Windows 应用程序
- 验证 Prefetch 文件的创建
- 调查 Sysmon 进程创建事件
- 使用 Wazuh 关联执行证据
- 构建取证执行时间线
# 实验环境
## 端点
- Windows 11
## 监控
- Wazuh Agent
- Wazuh Manager
- Sysmon
## 工具
- PowerShell
- Windows Explorer
- Wazuh Dashboard
# Prefetch 的重要性
Windows 创建 Prefetch 文件以提高应用程序的启动性能。这些工件在 DFIR 调查期间也很有价值,因为它们提供了应用程序已执行的证据。
Prefetch 可以帮助调查人员确定:
- 应用程序是否已执行
- 最近的执行活动
- 近似执行次数
- 上次执行时间
- 额外的执行工件(使用专门的取证工具)
# 已执行的应用程序
- 记事本
- 计算器
- Microsoft Paint
- 命令提示符
# 调查工作流
```
Application Execution
↓
Windows Prefetch (.pf)
↓
Sysmon Event ID 1
↓
Wazuh Agent
↓
Wazuh Manager
↓
Threat Hunting Investigation
```
# 调查步骤
1. 验证 Sysmon 和 Wazuh 服务。
2. 确认已启用 Prefetch。
3. 执行多个 Windows 应用程序。
4. 验证新的 Prefetch 工件。
5. 调查 Sysmon Event ID 1。
6. 在 Wazuh 中追踪进程创建事件。
7. 将 Prefetch 与 Sysmon 遥测数据进行关联。
8. 构建执行时间线。
# Wazuh 查询
## 进程创建
```
data.win.system.eventID:1
```
## 进程名称
```
notepad.exe
```
```
calc.exe
```
```
mspaint.exe
```
```
cmd.exe
```
# MITRE ATT&CK 映射
| 战术 | 技术 | ID |
|---------|-----------|----|
| Execution | User Execution | T1204 |
| Execution | Command and Scripting Interpreter | T1059 |
# 调查总结
在本实验中执行了多个 Windows 应用程序。Windows 为已执行的应用程序生成了 Prefetch 工件,同时 Sysmon 记录了相应的进程创建事件(Event ID 1)。Wazuh 成功收集并显示了执行遥测数据,使得完整的执行时间线得以重建。
# 展示技能
- Windows DFIR
- Windows Prefetch 分析
- 进程执行调查
- Sysmon 分析
- Wazuh Threat Hunting
- 时间线重建
- Windows 取证
- SOC 调查
# 学习成果
本实验演示了 Windows Prefetch 工件如何通过提供应用程序执行的额外取证证据,来补充端点遥测数据。将 Prefetch 工件与 Sysmon 和 Wazuh 结合使用,可提高事件调查和恶意软件分析过程中的可信度。
标签:AI合规, Sysmon, Wazuh, Windows预读取, 安全实验环境, 数字取证, 自动化脚本