Форензика Windows: как по следам в системе восстановить полный сценарий атаки.Event Log покажет факт логона, но промолчит про запущенный бинарник. Prefetch подтвердит запуск, но не скажет, откуда файл взялся на диске. MFT хранит временные метки, но без контекста из реестра они — просто цифры. Ни один артефакт сам по себе полной картины не даёт.
В статье — пошаговый...
Форензика Windows: пошаговый разбор артефактов при расследовании инцидента
Источник: codeby.net