最近在分析crowdstrike,断网后进行一些敏感操作,windows平台行为日志会保存在哪里哇,之前关注C:\Program Files\CrowdStrike\Database这个目录是rocksDB数据库,解密查看后没有发现行为日志,里面的sst文件的 key是 授权签名时间戳|hash ,值是一个msgpack格式,但也不是我想要的行为日志。跟它相关目录在电脑找了个遍也没找到行为日志路径,更奇怪的是生成lsass.exe dump文件,crowdstrike也不处理(有CID)。
[培训]Windows内核深度攻防:从Hook技术到Rootkit实战!
