2016年4月13日 星期三

[資安工具]LastActivityView-檢查系統最後的行為

LastActivityView-檢查系統最後的行為

簡介:
LastActivityView是一個極易上手的電腦檢視分析工具,該軟體可以查看目標電腦上所有歷程的檔案存取記錄,讓使用者清楚明白這台電腦從以前到現在開啟的應用程式、檔案內容為何。只要輕輕的點擊開啟後,即可輕鬆的作分析,可謂資安人員分析的好用工具。

情況:
Q1.今天發生某員工的電腦莫名的關機,造成電腦異常時,我們可以怎麼作查詢呢?
首先用LastActivityView開啟後,查看電腦近期開啟檔案的紀錄,自然可以判斷出使用者最後的電腦行為是否有異常,以及該檔案是不是造成莫名關機的主因。

Q2.怎麼查出該電腦使用者有沒有開啟異常的檔案或是存取外接式USB,而違反公司政策呢?
一樣使用LastActivityView檢視後,在「完整路徑」的欄位中,我們可以看到,若有使用外接式USB進行檔案存取的行為,則可以看到本機磁碟代碼(C:、D:)以外的路徑,例如F槽之類的,此時我們就可以確定在什麼時間點電腦使用者開啟了USB內的檔案內容,而這樣的異常行為是不是有竊取檔案的疑慮,以供判斷。

Q3.有沒有異常小程式在自動執行?
LastActivityView在開啟後,也會自動將背景執行的應用程式,以往存取的程式名稱、時間、路徑呈現出來,所以我們只要逐一檢視,找出檔案名稱異常或異常路徑下的資料夾,也有可能將異常的程式檔案抓取出來。

LastActivityView執行操作
直接開啟LastActivityView後,便會自動載入電腦歷程紀錄,相當的易用方便。

 LastActivityView詳細內容
待我們點擊某個列表想要看更詳細的完整路徑與程式名稱時,LastActivityView便會自動的秀出相關細節。

LastActivityView細節操作
在使用LastActivityView時,若在「檢視」的功能選項中,分別勾選「顯示格線」、「顯示工具提示」、「標記奇/偶數行」等功能,即可讓呈現出來的資料列表更加清楚明白,便於易讀。

匯出LastActivityView檔案
最後,若要將LastActivityView內的資料匯整出來的話,因該軟體預設匯出的功能較難分辨。因此我們可以善用EXCEL,將LastActivityView欄位整個複製後,貼到新的EXCEL中,即完成檔案匯出的動作,此時也可以作相關的編排,讓資料列表更清楚明白。

小結
LastActivityView是一套相當易用的懶人工具,只要簡單執行後,便會自動載入目標電腦歷程訊息,不過有一點需要注意的是,若單純的作基本分析用途,安裝的LastActivityView版本可使用官方提供的可安裝版。但若是針對重要的目標電腦作檢視時,則不建議實際安裝在目標電腦上,畢竟會更改了目標電腦的電磁紀錄,將來的數位證據上也會有相關的問題疑慮存在。

LastActivityView官方檔案下載: