危害指标(IOC)定义为“法医数据段，其中包括在系统日志条目或文件中找到的数据，用于识别系统或网络上的潜在恶意活动”。

通过监视IOC，组织可以检测攻击并迅速采取行动，通过在较早阶段停止攻击来防止此类破坏或限制破坏。

有一些用例，它们允许查询法医工件，例如-

• 通过MD5查找特定文件
• 搜索特定实体，该实体实际存储在内存中
• 特定条目或一组条目，存储在Windows注册表中

所有上述内容的组合在搜索工件时提供了更好的结果。如上所述，Windows注册表为生成和维护IOC提供了一个完美的平台，它直接有助于计算取证。

方法

• 在文件系统中查找位置，尤其是现在在Windows注册表中。

• 搜索由取证工具设计的工件集。

• 寻找任何不利活动的迹象。

调查生命周期

调查生命周期遵循IOC，并在注册表中搜索特定条目。

• 阶段1：初始证据-在主机或网络上检测到破坏的证据。响应者将调查并确定确切的解决方案，这是一个具体的法医指示。

• 阶段2：为主机和网络创建IOC-收集到数据之后，将创建IOC，这可以通过Windows注册表轻松实现。 OpenIOC的灵活性为指标的制定提供了无限数量的排列方式。

• 阶段3：在企业中部署IOC-创建指定的IOC后，研究人员将借助Windows注册器中的API部署这些技术。

• 阶段4：识别嫌疑人-部署IOC有助于以正常方式识别疑犯。甚至还会识别其他系统。

• 阶段5：收集和分析证据–收集和分析针对嫌疑犯的证据。

• 阶段6：完善和创建新的IOC –调查团队可以根据其在企业中发现的证据和数据以及其他情报来创建新的IOC，并继续完善其周期。

下图显示了调查生命周期的各个阶段-