// malware / dfir / first-response

Malware & DFIR

Поток для controlled malware-analysis и incident response без романтизации. Здесь главное не 'поймать красивое семейство', а быстро понять active risk, собрать пригодное evidence, сбросить доверие там, где нужно, и передать SOC детектируемые артефакты.

stream.map
artefact -> decision -> containment -> monitoring -> retest
Malware & DFIR
Синтетическая research-схема для отдельного потока материалов Virusologia.

// updated

Что должен уметь этот поток

// focused stream

Материалы потока

MALWARE

Malware triage: хороший разбор заканчивается детектом

Разбор образца не должен заканчиваться фразой 'вредоносный'. Полезный результат - timeline, IOC, YARA/Sigma-кандидаты, что сбросить, что искать в EDR и что проверить в сети.

читать разбор →
DFIR

Memory triage: первый час важнее красивой полной картины

В реальной incident-практике память часто становится не 'финальным артефактом для отчёта', а способом быстро решить, где сейчас риск: интерактивный доступ, незакрытая сессия, токен, инжектированный процесс или уже пустой след.

читать разбор →
DFIR

Infostealer response: окно для сброса доверия очень короткое

Инфостилер редко выглядит драматично в момент заражения, но быстро превращается в проблему доверия: cookies, refresh tokens, browser secrets, saved credentials и второй вход уже после 'очистки' машины.

читать разбор →
DFIR

EVTX gap analysis: иногда отсутствие событий важнее находки

При быстром разборе Windows-артефактов команды часто ищут только совпадения и забывают о пробелах: неестественно пустые периоды, отключенные каналы, оборванные цепочки логов и резкие изменения объёма событий.

читать разбор →

// working logic

Рабочая логика

DFIR-поток выигрывает, когда умеет приоритизировать artefacts по решению, которое они меняют: isolation, reset, preserve, hunt, detection update. Без этого техническая глубина не превращается в скорость ответа.

logic.flow
artefact -> decision -> containment -> monitoring -> retest

// related

Связанные разделы