Scribd
Upload
98 views

Index 508

Uploaded by

Stephen Anderson
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as PDF, TXT or read online on Scribd
98 views

Index 508

Uploaded by

Stephen Anderson
Copyright
© © All Rights Reserved
We take content rights seriously. If you suspect this is your content, claim it here.
Available Formats
Download as PDF, TXT or read online on Scribd
You are on page 1/ 8

FOR508 – Advanced Incident Response, Threat Hunting, &

Digital Forensics
Topics Enumeration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–100
Logon Event . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–95
Incident Response Steps . . . . . . . . . . . . . . . . . . 1–23-24 Tracking Administrator . . . . . . . . . . . . . . . . . . . . . 2–85
1. Preparation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–24 Tracking Creation . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–87
2. Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–24 Tracking Usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–73
3. Containment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–24 Tracking Usage (RDP) . . . . . . . . . . . . . . . . . . . . . . 2–89
4. Eradication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–24 Usage (RDP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–91
5. Recovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–24 AceHash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10, 2–24, 2–28
6. Lessons Learned . . . . . . . . . . . . . . . . . . . . . . . . . . 1–24 ACMRU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–17
Active Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–28
Service Name Admin Shares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–134
DcomLaunch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–76 Destination Artifacts . . . . . . . . . . . . . . . . . . . . . . . 2–134
LocalServiceAndNoImpersonation . . . . . . . . . 1–76 Source Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–133
LocalServiceNetworkRestricted . . . . . . . . . . 1–76 ADMIN$ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W-2.4–7
LocalServiceNoNetwork . . . . . . . . . . . . . . . . . . . . 1–76 Advanced NTFS Journal Parser (ANJP) . . . . . . . .4–192
netsvcs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–76 Alternate Data Stream . . . . . . . . . . . . . . . . . . . 1–67, 4–171
NetworkService . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–76 Amcache.hve . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–55
RPCSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–76 Parsing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–57
AmcacheParser.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–58
Windows Process AMSI → Anti-Malware Scanning Interface . . . . . . . . . . .
csrss.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–77 Analysis Scenario . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–72
explorer.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–78 AnalyzeMFT . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–157, 4–163
lsaiso.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–78 ANJP → Advanced NTFS Journal Parser . . . . . . . . . . . .
LSASS.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–79 ANONYMOUS LOGON . . . . . . . . . . . . . . . . . . . . . . . . . 2–83
ntoskrnl.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–80 Anti-Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67, 4–119
RuntimeBroker.exe . . . . . . . . . . . . . . . . . . . . . . . . 1–80 Anti-Malware Script Obfuscation . . . . . . . . . . . . . . . 2–170
services.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–77 Anti-Virus
smss.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–77 Bypass . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67
svchost.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–76 Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–156
System . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–76 AppCompatCache → Application Compatibility
taskhostw.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–79 Cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .
userinit.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–79 AppCompatCacheParser.exe . . . . . . . . . . . . . . . . . . . . . 2–54
wininit.exe . . . . . . . . . . . . . . . . . . . . . . . . . . 1–78, 1–80 Application Compatibility Cache . . . . . . . . . . 4–12, 2–52
winlogon.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–79, 80 Application Deployment Software . . . . . . . . . . . . . . . 2–148
APT19 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–85
wmic Archives (embedded timestamp) . . . . . . . . . . . . . . . . . 4–39
group . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–137 Armoring . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67
netuse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–137 Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–9
process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–137 Account Usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–23
qfe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–137 Browser Usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–24
startup . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–137 Deleted file or File Knowledge . . . . . . . . . . . . . . . 4–17
useraccount . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–137 File Opening/Creation . . . . . . . . . . . . . . . . . . . . . . 4–14
Network . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–123
Network Shares . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–133
OS Unusual . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–74
# Physical Location . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–19
$STANDARD INFORMATION . . . 4–38, 4–154, 4–156 PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–145
$FILE NAME . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–154, 4–157 Program Execution . . . . . . . . . . . . . . . . . . . . . . . . . 4–12
$DATA . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–168 PsExec . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–135-136
$logfile Operation Codes . . . . . . . . . . . . . . . . . . . . . . . . 4–186 Remote Desktop Protocol (RDP) . . . . . . 2–130-132
$UsnJrnl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–187 Remote Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–141
Parsing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–190 Scheduled Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–142
Reason Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–189 USB or Drive Usage . . . . . . . . . . . . . . . . . . . . . . . . .4–20
WMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–143
at.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–75, 1–101, 2–139
A ATT&CK . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–47, 1–52
Collection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–51
Account Command and Control . . . . . . . . . . . . . . . . . . . . . . 1–51
Built-in accounts . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–83

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 1
FOR508 – Advanced Incident Response, Threat Hunting, &
Digital Forensics

Credential Access . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–50 CreateRemoteThread . . . . . . . . . . . . . . . . . . . . . . 3–134, 135


Defense Evasion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–50 creddump . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–10, 2–24, 2–28
Discovery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–50 Credential
Execution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–50 Attacks (evolution) . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–8
Exfiltration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–51 Availability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–12
Lateral Movement . . . . . . . . . . . . . . . . . . . . . . . . . . .1–50 Harvesting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–6
Persistence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–50 Credential Guard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–9
Privilege Escalation . . . . . . . . . . . . . . . . . . . . . . . . . 1–50 CredSSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–9, 1–119
AutoRun . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67, 1–97 CRITS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–57
AutoRunsc.exe . . . . . . . . . . . . . . . . 1–100, 101, 1–104, 105 Cyber Threat Intelligence . . . . . . . . . . . . . . . . . . 1–33, 1–53
AutoStart . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–97 CyberChef . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–171

B D
BadRabbit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–139 DarkComet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–92
base64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W-1.4–9 Data Collection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–40
Beacons . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67 Data Encryption . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–120
Behavior Detection Anomaly . . . . . . . . . . . . . . . . . . . . 1–81 Data Exfiltration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–40
BelgaSoft . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–39 dc3dd . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–18
Binary Padding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–67 Deep Panda . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–85
blkls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–42 Defense Manipulation . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–67
Bloodhound . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–100 densityscout . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–82, 1–84
Browser Device Guard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–9
Cache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–24 Digital Forensics & IR . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–32
Cookies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–24 Direct Kernel Object Manipulation (DKOM) . . . 3–168
Flash & Supercookies . . . . . . . . . . . . . . . . . . . . . . . 4–25 Directory Table Base (DTB) . . . . . . . . . . . . . . . . . . . . . 3–50
History . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–24 DKOM → Direct Kernel Object Manipulation . . . . . . . .
Search Terms . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–20 DLL Hijacking
Session Restore . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–25 DLL Search Order Hijacking . . . . . . . . . . . . . . . 1–102
Brute-Force Password Attack . . . . . . . . . . . . . . . . . . . . 2–81 DLL Side-Loading . . . . . . . . . . . . . . . . . . . . . . . . . 1–102
bstring.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–193 Phantom DLL Hijacking . . . . . . . . . . . . . . . . . . . 1–102
BulkExtractor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–43 DLL Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67, 3–136
bytehist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–82 DLL Lists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–140
Domain Protected User . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–9
Download.sqlite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–11
C Driver Acquisition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–207
Driver Letter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–21
Cached Credentials . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24 DTB → Directory Table Base . . . . . . . . . . . . . . . . . . . . . . . .
Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–27 DumpIt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–39
cachedump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24 Dun and Bradstreet Rating . . . . . . . . . . . . . . . . . . . . . . 1–69
Cain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–28 DWM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–83
Capability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–54
Certification Authority . . . . . . . . . . . . . . . . . . . . . . . . . . 1–69
Chat threads . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–37 E
CIM → Common Information Model . . . . . . . . . . . . . . . . .
cmd.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–75 E-mail Attachments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–11
Code Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–74, 3–134 ECTXtract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–183
Reflective . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–149 EDR → Endpoint Detection and Response . . . . . . . . . . .
Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–159 Endpoint Detection and Response (EDR) . . . . . . . . 3–29
Code Signing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67, 1–69 Challenge . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–31
Malware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–71 Importance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–30
Command Line Tracking . . . . . . . . . . . . . . . . . . . . . . . 2–158 Memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–32
Common Information Model (CIM) . . . . . . . . . . . . . 1–135 Enter-PSSession . . . . . . . . . . . . . . . . . . . . . . . 1–117, 1–119
Compromise . . . . . . . . . . . . . . . . . . . . . . . . . 1–39, 1–62, 1–65 EPROCESS . . . . . . . . . . . . . . . . . . . . . . . . 3–50, 3–68, 3–168
Conficker . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–121 Eradication Without Identification . . . . . . . . . . . . . . . 1–25
Containment . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–27 Establish Foothold . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–39
CozyDuke . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–101 Evasion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–67
CreateInstance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–104 Event Log Explorer . . . . . . . . . . . . W-2.3–1, 2–103, 2–183

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 2
FOR508 – Advanced Incident Response, Threat Hunting, &
Digital Forensics

Event Viewer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–74 fxsst.dll . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–103


EventLog . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–64
Application . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–67 G
Clearing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–123
Clearing (Selective) . . . . . . . . . . . . . . . . . . . . . . . . 2–126 Get-Alias . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–115
Deletion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–121 Get-ChildItem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–115
EventID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–191 Get-LsaSecret.ps1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–29
Extraction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–183 Get-Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–115
Forwarding . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W-3.4–11 Get-Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–115
PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–185 Get-SvcFail.ps1 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–100
Security . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–68 Get-WinEvent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–185
Security Event . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–69 Get-WmiObject . . . . . . . . . . . . . . . . . . . . . . . . . .1–104, 1–140
Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–67 GlassRAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–100
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–182 Golden Ticket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–31, 2–34
Tampering . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–121 gpedit.msc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–68
Types . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–66 grep . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–194
eventlogedit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–126 Group Enumeration . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–100
eventvwr.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–74 Group Managed Service Account . . . . . . . . . . . . . . . . . .2–9
EVT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–64 GRR . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–7, 3–210
evtwalk . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–183 gsecdump . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10, 2–13, 2–28
EVTX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–64
evtx view . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–183 H
Executive Process Block . . . . . . . . . . . . . . . . . . . . . . . . . 3–50
Handle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–111
Hashes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10
F Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–17
Hibernation Files . . . . . . . . . . . . . . . . . . . . . . . . . . 3–39, 3–43
F-Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–7 Windows 10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–47
Acquire Memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–18 Hibernation Recon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–43
Agent Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–15 hibr2bin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–43
Attach Remote Drive . . . . . . . . . . . . . . . . . . . . . . . 3–17 Hiding in Plain Sight . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–66
Enterprise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–8 Historical Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–124
GPO . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–14 Hunting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–29, 1–31-34
MSI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–12 Automated to Manual . . . . . . . . . . . . . . . . . . . . . . .1–64
SIFT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–39 Steps (color) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–62
Fast forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–80
fgdump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10
File
I
Delete . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–119 I/O Request Packet (IRP) . . . . . . . . . . . . . . . . . . . . . . 3–161
Download . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–11 IAT → Import Address Table . . . . . . . . . . . . . . . . . . . . . . . .
Handle . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–111 Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–31-34
Wiping . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–119 IDT → Interrupt Descriptor Table . . . . . . . . . . . . . . . . . . .
File System Impact . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–53
Journaling . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–182-185 Import Address Table (IAT) . . . . . . . . . . . . . . . . . . . . 3–161
Filename Incident Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–23-24
Hijacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67 Intelligence-Driven . . . . . . . . . . . . . . . . . . . . . . . . . . 1–39
Filename . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–176 Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–38
filter windows . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–81 Remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–4
Firmware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67 Team . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–32
fls . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–30, 4–48 Incognito . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–19, 1–119
foremost . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–42 Incognito mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–37
Forensics (Remote) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–4 Index.dat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–12, 4–17
Format-Wide . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–115 Indicator of Compromise . . . . . . . . . . . . . . . . . . . . . . . . 1–56
fr ace Atomic . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–41
add . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–16 Behavioral . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–42
mount . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–17 Computed . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–42
query . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–16 IOC Editor . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–57
Frequent Compilation . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67 Language . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–56
FU Rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–170 InInitializationOrderModule List . . . . . . . . . . . 3–140

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 3
FOR508 – Advanced Incident Response, Threat Hunting, &
Digital Forensics

Initial Compromise . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–39 KPCR → Kernel Processor Control Region . . . . . . . . . . .


Inline API . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–161
InLoadOrderModule List . . . . . . . . . . . . . . . . . . . . . . . 3–140
InMemoryOrderModule List . . . . . . . . . . . . . . . . . . . . . 3–140 L
Intelligence Development . . . . . . . . . . . . . . . . . . . . . . . . 1–27
Intelligence-Driven Incident Response . . . . . . . . . . . . 1–39 LAPS → Local Administrator Password Solution . . . . .
Intent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–54 Last visited MRU . . . . . . . . . . . . . . . . . . . . 4–12, 4–15, 4–17
Internet Evidence Finder . . . . . . . . . . . . . . . . . . . . . . . . 3–43 Lateral Movement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–40
Interrupt Descriptor Table (IDT) . . . . . . . . . . . . . . . 3–161 Overview . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–5
Invoke-Command . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–117 Scheduled Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–112
IOC Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–212 Shares . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–106
IPRIP → RIP Listener Service . . . . . . . . . . . . . . . . . . . . . . . Tracking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–105
IRP→ I/O Request Packet . . . . . . . . . . . . . . . . . . . . . . . . . . . Least frequency of occurence analysis . . . . . . . . . . . 1–127
istat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–162, 4–173-175 LiveSSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10
LoadLibrary . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–134, 3–149
Local Account . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–95
J Abuse . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–98
Local Admin (Limitations) . . . . . . . . . . . . . . . . . . . . . . 2–6-7
jobparser.py . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–115 Local Administrator Password Solution (LAPS) . .2–17
jp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–191 LOCAL SERVICE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–83
Jump List . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–13 Location: Internet Explorer . . . . . . . . . . . . . . . . . . . . . . 4–17
log2timeline . . . . . . . . . . . . . . . . . . . . . . . . . 4–30, 4–60, 4–69
Arguments . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–70
K Device examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–73
Parser lists . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–85
Kansa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–120-129 VSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–131
3rd party tools . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–126 Logon
Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–124 Error Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–96
Get-AutoRunsc.ps1 . . . . . . . . . . . . . . . . . . . . . . . 1–126 Event . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–95
Get-CertStore.ps1 . . . . . . . . . . . . . . . . . . . . . . . 1–126 Last . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–23
Get-FlsBodyfile.ps1 . . . . . . . . . . . . . . . . . . . . . 1–126 Session Identification . . . . . . . . . . . . . . . . . . . . . . . . 2–79
Get-Handle.ps1 . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–126 Success/Failure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–23
Get-LogparserStack.ps1 . . . . . . . . . . . . . . . . . 1–127 Type . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–12, 4–23
Get-ProcDump.ps1 . . . . . . . . . . . . . . . . . . . . . . . . 1–126 Type Codes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–77
Get-RekalPslist.ps1 . . . . . . . . . . . . . . . . . . . . . 1–126 LSA Secret . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–28
Remote . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W-1.5–6 Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–30
Kansa PowerShell Framework . . . . . . . . . . . . . . . . . . .1–104 LSASS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10
KAPE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–22 Security EventLog . . . . . . . . . . . . . . . . . . . . . . . . . . 2–68
Collection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–25
Options . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–23
KB2871997 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–8 M
KDBG → Kernel Debugger Datablock . . . . . . . . . . . . . . .
KdCopyDataBlock . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–59 MACB . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–35-36
Kerberoasting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–31, 2–34 mactime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–68
Kerberos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–96, 1–119 MagnetForensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–39
Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–34 Maintain presence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–39
Attacks (Defense) . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–38 Malware
Kernel Debugger Datablock (KDBG) . . . . . . . . . . . . 3–50 Code Signing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–71
Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–59 Dormant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–62, 1–67
Kernel Patch Protection . . . . . . . . . . . . . . . . . . . . . . . . 3–164 Evasion techniques . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67
Kernel Processor Control Region (KPCR) . . . . . . . 3–50 Execution . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–155
Kill Chain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–41, 1–43 Fileless . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–120
Actions on Objectives . . . . . . . . . . . . . . . . . . . . . . . 1–44 Identification . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–81
Delivery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–43 Locations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–66
Exploitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–43 Names . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–66
Persistence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–44 Paradox . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–61
Reconnaissance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–43 Malware Persistence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–96
kpartx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–17 AutoStart Locations . . . . . . . . . . . . . . . . . . . . . . . . 1–97
kpartx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W-3.1–16 BIOS Flashing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–96

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 4
FOR508 – Advanced Incident Response, Threat Hunting, &
Digital Forensics

DLL Hijacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–102 New-PSDrive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–115


Local Group Policy . . . . . . . . . . . . . . . . . . . . . . . . . 1–96 Nishang . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–29
MS Office Add-in . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–96 NotPetya . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–139
Scheduled Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–101 NTDS.DIT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–39
Service Creation/Replacement . . . . . . . . . . . . . . 1–99 ntdsdump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–39
Service Failure Recovery . . . . . . . . . . . . . . . . . . . 1–100 NTDSXtract . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–39
WMI Event Consumers . . . . . . . . . . . . . . . . . . . . 1–104 NTFS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–140
Managed Service Account . . . . . . . . . . . . . . . . . . . . . . . . . 2–8 Alternate Data Stream . . . . . . . . . . . . . . . . . . . . . 4–171
Master File Table (MFT) . . . . . . . . . . . . . . . . . . . . . . . 4–147 Features . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–142
File Record Header . . . . . . . . . . . . . . . . . . . . . . . . 4–152 File Deletion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–195
Outlier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–166 File Write . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–194
Sequential Entries . . . . . . . . . . . . . . . . . . . . . . . . . .4–151 Index slack space . . . . . . . . . . . . . . . . . . . . . . . . . . 4–180
Structure . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–148 System Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–144
Memory Timestamp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–36
Acquisition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–39 NTLM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10
Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–49 ntoskrnl.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–161
Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–50
Compression . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–45
Dump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–39 O
Finding the first hit . . . . . . . . . . . . . . . . . . . . . . . . . 3–66
Forensics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–35 Office Recent Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–15
Advantages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–37 Open/Save MRU . . . . . . . . . . . . . . . . . . . . . . . . . . 4–11, 4–14
Motivations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–36 OpenIOC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–57
Windows 10 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–45 Opportunity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–54
Offset . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–79 Order of Volatility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–124
Page Execute ReadWrite . . . . . . . . . . . . . . . . . . . 3–150 Out-GridView . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–115
Virtual Machine . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–41 Overpass the Hash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–34
Metadata Layer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–150
MetaSploit . . . . . . . . . . . . . . .2–10, 2–19, 2–24, 2–28, 2–39
MFT → Master File Table . . . . . . . . . . . . . . . . . . . . . . . . . . . P
MFTECmd . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–30, 4–46, 4–157
Microsoft Online Accounts . . . . . . . . . . . . . . . . . . . . . . . 2–79 Packing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67
Mimikatz . . . . . . .2–9, 10, 2–15, 2–20, 2–28, 2–32, 1–119 Page Directory Offset (PDB) . . . . . . . . . . . . . . . . . . . . 3–78
EventLog Clearing . . . . . . . . . . . . . . . . . . . . . . . . . 2–126 Page File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–39
MOF . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–141 Pass-the-hash attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10
MOF → WMI/MOF Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . Mitigations . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–9
mofcomp.exe . . . . . . . . . . . . . . . . . . . . . 1–104, 2–144, 1–150 Pass-the-ticket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–31, 2–34
mount . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–17 Passware . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–43
MountPoints2 . . . . . . . . . . . . . . . . . . . . . . 4–43, 1–75, 2–133 Password
MsCash2 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24 Last change . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–23
mstsc.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–130 PatchGuard . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–164
Mutant . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–113 PDB → Page Directory Offset . . . . . . . . . . . . . . . . . . . . . . . .
Mutex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–113 PEB → Process Environment Block . . . . . . . . . . . . . . . . . .
MZ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–152-154 PECmd.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–47
Perimeter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–30
pescan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–82, 1–87
N Phishing Attack . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–98-100
pinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–89
net.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–75, 2–133 pinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–60
net1.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–133 Pivot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–26-27
netstat.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–115 Places.sqlite . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–12
NetTraveler . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–103 Plaso . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–60
Network Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–123 Linux/Android/Mac Parsers . . . . . . . . . . . . . . . . 4–66
Review . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–129 mactime . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–68
Network History . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–20 Registry Parsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–63
NETWORK SERVICE . . . . . . . . . . . . . . . . . . . . . . . . . . 2–83 Web History Parsers . . . . . . . . . . . . . . . . . . . . . . . . 4–65
Network Shares Windows Parsers . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–61
Admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–133 Plug-and-Play Event Log . . . . . . . . . . . . . . . . . . . . . . . . 4–22
Tracking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–106 PlugX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–103

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 5
FOR508 – Advanced Incident Response, Threat Hunting, &
Digital Forensics

Poison Ivy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–103 qprivs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–74


Ports . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W-3.4–4 qtriggerinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–74
powercfg.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–43 queryex . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–74
PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–114
Authentication . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–119
Basics . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–115
R
Command History . . . . . . . . . . . . . . . . . . . . . . . . . 2–176 rar.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–75
Enabling logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–166 RasAuto . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–100
Log hunting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–168 rdpclip.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–132
Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–164 Reactive Response . . . . . . . . . . . . . . . . . . . . . . 1–29, 1–31-34
Malicious (logs) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–167 Recent Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–14
Obfuscation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–170 RecentFileCache.bcf . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–55
Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–87 Reconnaissance Tracking . . . . . . . . . . . . . . . . . . . . . . . 2–100
Remote Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . 2–147 Recycle Bin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–18
Remoting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–117 RedLine . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–57
Source Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–145 reg.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–75, 2–139
Transcript Logs . . . . . . . . . . . . . . . . . . . . . . . . 2–173-174 Registry
powershell.exe . . . . . . . . . . . . . . . . . . . . . . . . . 1–75, 2–146 Deletion . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–120
PowerView . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–100 Hiding Data . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–120
Prefetch . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–13, 4–15, 2–42 RegRipper . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–98, 2–130
First/Last Execution . . . . . . . . . . . . . . . . . . . . . . . . 2–45 Rekall . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–130, 3–210
From memory . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–137 Remediation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–35
prefetchparser . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–137 Requirements . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–36
Privileged Local Account Abuse . . . . . . . . . . . . . . . . . 2–98 Steps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–37
Proactive Response . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–29 Remote Credential Guard . . . . . . . . . . . . . . . . . . . . . . . . . 2–9
ProcDump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–75 Remote Desktop Protocol (RDP)
Process Logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–93
Acquisition . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–207 Source Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–130
Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–70 Usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–24
Anomaly . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–76 Remote Service Artifacts . . . . . . . . . . . . . . . . . . . . . . . 2–141
Environment Block (PEB) . . . . . . . . . . . . . . . . . . 3–50 Restricted Admin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–9
Hollowing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–135 RID 500 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–7
Injection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67 RIP Listener Service (IPRIP) . . . . . . . . . . . . . . . . . . . . 1–99
Objects . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–94, 3–121 rip.pl . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W-3.1–18
Process tree . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–33 Rogue Process Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . 3–94
Rogue . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–73 Rootkit . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67, 1–74, 1–130
Terminated . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–80 Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–180
Tracking . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–158, 2–160 Hooking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–161
Command Line . . . . . . . . . . . . . . . . . . . . . . . . . . 2–162 Run MRU . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–14
Profiling Account Usage . . . . . . . . . . . . . . . . . . . . . . . . . 2–72
Protected Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–9 S
PsActiveProcessHead . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–50
PsExec . . . . . . . . . . . . . . . . . . . . . . 2–10, 1–75, 2–121, 2–136 SACL → System Access Control List . . . . . . . . . . . . . . . . .
Destination Artifacts . . . . . . . . . . . . . . . . . . . . . . . 2–136 Sakula . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–103
Source Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–135 SAM Registry Hive . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10
psexesvc.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–137 sc.exe . . . . . . . . . . . . . . . . . . . . . . . . 1–74, 75, 1–100, 2–139
PsLoggedOn . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–75 Scheduled Tasks
PsLogList . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–183 Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–142
psort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–93 Artifacts (v1.2) . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–115
psort . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–60 Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–114
PspCid . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–170 Tracking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–112
PSReadline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–176 schtasks.exe . . . . . . . . . . . . . . . . . . . . . 1–75, 1–101, 2–139
PWDumpX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–24 SCM → Service Control Manager . . . . . . . . . . . . . . . . . . . .
PWDumpX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10 scrcons.exe . . . . . . . . . . . . . . . . . . . . . . 3–87, 2–144, 2–180
Scripting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–112
Bash . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–112
Q PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–112
WMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–112
qc . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–74 Search (Win7-10) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–19

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 6
FOR508 – Advanced Incident Response, Threat Hunting, &
Digital Forensics

Search (XP) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–17 Thumbs.db . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–19


Security Identifier (SID) . . . . . . . . . . . . . . . . . 3–103, 3–107 Tickets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–31
Security Tokens → Tokens . . . . . . . . . . . . . . . . . . . . . . . . . . . Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–36
SeDebug . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–85 Timeline
SeImpersonate . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–19 Benefits . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–5
Select-String . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–115 Comparison . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–30
Service Control Manager . . . . . . . . . . . . . . . . . . . . . . . 2–119 Context . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–29
Service Events . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–13 Filesystem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–44
Service Hijacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67 Process Analysis . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–32
Service Replacement . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67 Super Timeline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–53
Services Utopia and Reality . . . . . . . . . . . . . . . . . . . . . . . . . 4–5-6
Suspicious . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–119 Timestamp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–35-36
Unknown . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–74 Lateral Movement Analysis . . . . . . . . . . . . . . . . . 4–43
Set-WmiInstance . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–104 Timestomp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67, 4–119
SeTakeOwnership . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–85 Detection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–162
SetWindowsHookEx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–135 Evidence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–51
Shell bags . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–15 Timezone . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–19
ShimCache . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–51, 4–138 Tokens . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–19
shimcachemem . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–138 Defense . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–22
Shortcut (LNK) files . . . . . . . . . . . . . . . . . . . . . . . 4–15, 4–22 Tracking
SID → Security Identifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . Account Creation . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–87
sigcheck . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–82, 1–89 Account Usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–73
Silver Ticket . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–34 Account Usage (RDP) . . . . . . . . . . . . . . . . . . . . . . 2–89
Skeleton Key . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–34 Command Line . . . . . . . . . . . . . . . . . . . . . . . . 2–158-162
Skype . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–11 Lateral Movement . . . . . . . . . . . . . . . . . . . . . . . . . 2–105
SMB Network Shares . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–106
File copy . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–43 Process . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–158-160
SMBShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10 Reconnaissance . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–100
SSDT → System Service Descriptor Table . . . . . . . . . . . . Scheduled Tasks . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–112
Stacking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–127 Triage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–80
Statistics (incident) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–13 Filesystem Timeline . . . . . . . . . . . . . . . . . . . . . . . . . 4–35
STIX . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–56 Trusted Code . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–69
Strings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–193 TsPkg . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–9, 10
StuxNet . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–141, 3–147 tstheme.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–132
Super Timeline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–53
Creation steps . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–96
Filter . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–78 U
Output . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–105 UAC → User Acess Control . . . . . . . . . . . . . . . . . . . . . . . . . .
Targeted . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–75 UMFD . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–83
Suspicious Services . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–119 USB First/Last Times . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–21
Swap File . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–39 USB Key Identification . . . . . . . . . . . . . . . . . . . . . . . . . . 4–20
SxS → DLL Hijacking/DLL Side-Loading . . . . . . . . . . . . User Acess Control (UAC) . . . . . . . . . . . . . . . . . . . . . . . . 2–8
SysMon . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–188 UserAssist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–14
SYSTEM . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–83
System Access Control List . . . . . . . . . . . . . . . . . . . . . . 2–69
System Service Descriptor Table (SSDT) . . . . . . . 3–161 V
SYSTEM32 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W-2.1–9
SYSWOW64 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . W-2.1–9 VAD→ Virtual Address Descriptor . . . . . . . . . . . . . . . . . . .
Virtual Address Descriptor (VAD) . . . . . . . . . . . . . . . 3–50
Virtual Secure Mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–45
T VirtualAllocEx . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–135
Visibility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–30
Target Collection . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–25 VNC . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–131
Task (Start time) . . . . . . . . . . . . . . . . . . . . . . . . . . . W-2.4–22 Volatility . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–43, 3–53
TDL3/TDSS . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–144 apihooks . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–163, 3–177
TeamViewer . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–131 baseline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–91
Temporal proximity . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–26 cmdline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–99
Threat . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–53 cmdscan . . . . . . . . . . . . . . . . . . . . . . . . 3–184, 3–197-198
Thumbnails . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–18 connections . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–125

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 7
FOR508 – Advanced Incident Response, Threat Hunting, &
Digital Forensics

connscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–125 W
consoles . . . . . . . . . . . . . . . . . . . . . . . 3–184, 3–197-198
devicetree . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–172 WannaCry . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–139
dlldump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–184, 185 WBEM → Web-Based Entreprise Managment . . . . . . . .
dlllist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–99, 100 WCE . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–10
driverbl . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–91, 3–175 WDigest . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–9, 10
driverirp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–163 Web Server Intrusion . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–97
dumpfiles . . . . . . . . . . . . . . . . . . . . . . . . . . 3–184, 3–201 Web-Based Entreprise Managment (WBEM) . . . 1–135
filescan . . . . . . . . . . . . . . . . . . . . . 3–61, 3–184, 3–204 WebShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67, 3–85
getsids . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–99, 3–103 What is Evil? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–73
handles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–99, 3–110 What is Normal? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–73
hivelist . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–61 win32k.sys . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–161
hollowfind . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–139 Windows Remote Management . . . . . . . . . . 2–115, 2–139
idt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–163 Windows Service . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–99
imagecopy . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–43, 3–64 Windows Time Rules . . . . . . . . . . . . . . . . . 4–38, 4–160-161
imageinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–58 winpmem Driver . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–39, 1–130
kdbgscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–59, 3–62 winrm.vbs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–75, 1–117
ldrmodules . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–139, 140 winrs.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–139
malfind . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–139, 3–151 wisp . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–180
malprocfind . . . . . . . . . . . . . . . . . . . . . . . . . . 3–73, 3–89 WMI . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–112, 1–135
memdump . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–184, 3–192 Attacks . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–136
moddump . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–184, 3–187 Consumers . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–148
modscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–163, 3–172 Database . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–146
modules . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–172 Destination Artifacts . . . . . . . . . . . . . . . . . . . . . . . 2–144
mutantscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–99 Event Consumer Backdoor . . . . . . . . . . . . . . . . . 1–140
netscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–125, 126 Event Consumers . . . . . . . . . . . . . . . . . . . . . . . . . . 1–104
openioc scan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–212 Hunting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–149
procdump . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–184, 3–191 Investigation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–142
processbl . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–73, 3–91 Lateral Movement . . . . . . . . . . . . . . . . . . . . . . . . . 1–139
pslist . . . . . . . . . . . . . . . . . . . . . . 3–59, 3–61, 3–73, 74 Log Hunting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–180
psscan . . . . . . . . . . . . . . . . . . . . 3–61, 3–73, 3–78, 3–80 Logs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–177
pstree . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–73, 3–82 MOF Files . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–150
psxview . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–163, 3–169 Persistence . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .2–177
servicebl . . . . . . . . . . . . . . . . . . . . . 3–91, 3–99, 3–119 PowerShell . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–144
sockets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–125 Privilege Escalation . . . . . . . . . . . . . . . . . . . . . . . . 1–138
sockscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–125 Processes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–87
ssdt . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–163, 164 PyWMIPersistenceFinder.py . . . . . . . . . . . . . . . 1–147
svcscan . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–99, 3–115 Source Artifacts . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–143
threadmap . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–139 WBEM AutoRecover Folder . . . . . . . . . . . . . . . 1–152
vaddump . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–192 WBEM AutoRecover Key . . . . . . . . . . . . . . . . . . 1–154
vainfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–201 wmic.exe . . . . . . . . . . . . . . . . . . . . 1–75, 3–87, 1–113, 2–143
Help . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–56 wmiprvse.exe . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–87, 2–144
Image identification . . . . . . . . . . . . . . . . . . . . . . . . . 3–61 WordWheelQuery . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–19
Profile . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–60 WriteProcessMemory . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–135
Usage . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–54 WSMAN . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–117
Volume GUID . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–55 wsmprovhost.exe . . . . . . . . . . . . . . . . . . . . . . . . 3–87, 2–147
Volume Name . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–21
Volume Serial Number . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–22
Volume Shadow Copy . . . . . . . . . . . . . . . . . . . . . . . . . . 4–124 Y
Examination . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–126
log2timeline . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–131 Yara . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .1–57
vshadowinfo . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–127
vshadowmount . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 4–128
VSM → Virtual Secure Mode . . . . . . . . . . . . . . . . . . . . . . . .
Z
VSSAdmin . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–39 Zbot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3–178
Vulnerability . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–53 Zero Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 1–67
Exploitation . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 2–150 Zeus . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .3–178
Zone Identifier . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .4–172

This work is licensed under a Creative Commons Attribution 4.0 International License, by A. Cailliau
Template by A. D’hondt, https://github.com/dhondta/tex-course-index-template 8

You might also like