Windows Defender как источник улик: как следы сканирования файлов могут выдать ВПО

Следы активности Windows Defender, которые многие считают второстепенными, могут стать ключевым источником улик при расследовании киберинцидентов. Команда uFactor на Habr раскрывает методику поиска вредоносного ПО (ВПО) через анализ событий сканирования файлов антивирусом. Однако этот способ сопряжен с серьезным ограничением: артефакты Defender имеют свойство полностью удаляться, что делает метод лишь вспомогательным инструментом, а не основой для расследования.

В отличие от стандартного анализа журналов событий с ID 1116 и 1117 или записей карантина, предлагаемый подход фокусируется на событиях сканирования файлов, которые пользователь скачал или которые иным образом появились в системе. Конкретные артефакты, указывающие на факт такого сканирования, хранятся в виде файлов по пути, например: `.\ProgramData\Microsoft\Windows Defender\Scans\History\Results\Resource\ {8C9221F8-4026-473E-A0B6-3D6981F102F0}`, а также в журнале `Microsoft-Windows-Win`.

Эта методика подчеркивает важность комплексного подхода в компьютерной криминалистике. Поиск ВПО через Defender сигнализирует о необходимости использовать все доступные, пусть и недолговечные, источники данных. Для специалистов по информационной безопасности это означает дополнительный вектор проверки, который может выявить следы вредоносной активности, упущенные другими методами, но его применение всегда должно идти в связке с основными инструментами расследования.