[Íñsí~dé th~é Íñv~éstí~gátí~óñ: Hú~ñtíñ~g Hác~kérs~ Thró~úgh t~hé ‘Fó~úñdá~tíóñ~ál Fó~úr’]

[Ít’s t~hé mí~ddlé~ óf th~é ñíg~ht óñ~ thé w~ééké~ñd, áñ~d ýóú~ gét á~ cáll~. Ýóú’r~é ñéé~déd í~mméd~íáté~lý tó~ résp~óñd t~ó á cr~ímé s~céñé~, á bré~ák-íñ~ bý úñ~kñów~ñ cúl~prít~s.]  

[Ímág~íñé ý~óúrs~élf á~s thé~ léád~ dété~ctív~é cál~léd t~ó hél~p íñv~éstí~gáté~ thís~ crím~é.]

[Whér~é dó ý~óú st~árt¿~ Whát~ clúé~s dó ý~óú ló~ók fó~r¿ Wh~át qú~éstí~óñs d~ó ýóú~ ásk¿~ Whó d~ó ýóú~ qúés~tíóñ~¿ Whí~ch íñ~vést~ígát~ívé t~óóls~ shóú~ld ýó~ú úsé~¿ Whý~ díd t~hís c~rímé~ évéñ~ óccú~r íñ t~hé fí~rst p~lácé~, áñd w~hó ís~ résp~óñsí~blé¿~]  

[Íñ dí~gítá~l íñv~éstí~gátí~óñs, t~hé cr~ímé s~céñé~ ís th~é víc~tím ó~rgáñ~ízát~íóñ’s~ ñétw~órk á~ñd dí~gítá~l áss~éts. Í~ñ thé~ wáké~ óf á c~ýbér~ íñcí~déñt~ ór br~éách~, thér~é máý~ bé ób~víóú~s clú~és. Íñ~ óthé~r tím~és, th~éré m~áý áp~péár~ tó bé~ ñóñé~.]  

[Hówé~vér, é~véñ t~hát c~áñ bé~ á clú~é íñ í~tsél~f. Lác~k óf ó~bvíó~ús cl~úés m~áý bé~ áñ íñ~dícá~tíóñ~ thát~ ýóú á~ré dé~álíñ~g wít~h pró~féss~íóñá~ls.]  

[Próf~éssí~óñál~s áré~ vérý~ góód~ át cl~éáñí~ñg úp~ áfté~r thé~msél~vés. T~héý á~lsó s~ómét~ímés~ pláñ~t déc~óýs t~ó dél~íbér~átél~ý póí~ñt íñ~vést~ígát~órs í~ñ thé~ wróñ~g dír~éctí~óñ. Th~át's~ whý c~óñté~xt ís~ évér~ýthí~ñg¡]

[Áttá~ckér~s gó t~hróú~gh á s~éríé~s óf s~téps~ áñd t~áctí~cs wí~th th~é áím~ óf ác~híév~íñg t~héír~ málí~cíóú~s áím~s. Thí~s méá~ñs dé~féñd~érs m~úst á~lsó á~pplý~ cóúñ~tér t~áctí~cs fó~r éff~éctí~vé ré~spóñ~sé pr~épár~édñé~ss.]  

[Íñ th~ís bl~óg sé~ríés~, wé'l~l fól~lów t~hé éx~écút~áblé~ shów~ñ bél~ów, wh~ích w~ás ré~pórt~éd ás~ béíñ~g rúñ~ bý á ú~sér í~ñ óúr~ órgá~ñízá~tíóñ~. Wé'l~l thé~ñ trý~ tó íñ~vést~ígát~é whá~t ít d~íd wh~éñ ít~ ráñ á~ñd dé~térm~íñé w~héth~ér ít~s áct~íóñs~ wéré~ góód~ ór bá~d.]  

[Péóp~lé, dé~vícé~s, ñét~wórk~s, áñd~ dátá~]

[Últí~máté~lý, th~é cýb~ér wó~rld í~s ábó~út dá~tá. Dá~tá ís~ ófté~ñ hós~téd ó~ñ wór~klóá~ds (wh~ích w~é cáñ~ lóós~élý c~áll s~érvé~rs fó~r thé~ púrp~ósés~ óf th~ís ár~tícl~é).]  

[Péóp~lé ór~ úsér~s háv~é dév~ícés~ líké~ lápt~óps, s~márt~phóñ~és, áñ~d táb~léts~ whíc~h cóñ~ñéct~ óvér~ ñétw~órks~ tó ác~céss~ thé d~átá s~ávéd~ óñ th~é wór~klóá~ds.]  

[Tó ác~céss~ thé d~átá, t~héý t~ýpíc~állý~ úsé á~pplí~cátí~óñs r~úññí~ñg óñ~ théí~r dév~ícés~. Théí~r dév~ícés~ cóññ~éct ó~vér ñ~étwó~rks l~íké W~í-Fí t~ó thé~ íñté~rñét~.]  

[Íñ práctícé, cóñsídér á úsér whó lógs íñtó á láptóp, whích théñ cóññécts tó Wí-Fí. Thé úsér théñ láúñchés áñ émáíl ápplícátíóñ tó cóññéct tó théír cómpáñý’s émáíl wórklóád ór sérvér. Thé úsér (péóplé) úsés thé láptóp (dévícé) tó cóññéct óvér á ñétwórk (Wí-Fí) tó gét tó thé cómpáñý émáíl sérvér (wórklóád) tó áccéss émáíl (dátá).]

[Fóll~ów th~é dát~á]

[Thé m~ótív~átíó~ñ óf d~éféñ~dérs~ ís tó~ máíñ~táíñ~ thé c~óñfí~déñt~íálí~tý, íñ~tégr~ítý, á~ñd áv~áílá~bílí~tý óf~ théí~r dát~á.]  

[Thér~é’s th~é póp~úlár~ sáýí~ñg tó~ fóll~ów th~é móñ~éý. Th~é cýb~ér éq~úívá~léñt~ ís tó~ fóll~ów th~é dát~á.]  

[Íñ th~é áft~érmá~th óf~ áñ át~táck~, ýóú w~áñt t~ó stá~rt bý~ átté~mptí~ñg tó~ fíñd~ thé á~ñswé~rs tó~ thé f~ólló~wíñg~ kéý q~úést~íóñs~:]

• [Íñcí~déñt~: Whát~ hápp~éñéd~¿]
• [Ímpá~ct: Wh~át (ór~ whó) í~s áff~écté~d¿]
• [Scóp~é: Whé~ré ís~ ít há~ppéñ~íñg¿~]
• [Répó~rt: Fí~ñdíñ~gs áñ~d réc~ómmé~ñdát~íóñs~]

[Hówé~vér, í~ñ órd~ér tó~ áñsw~ér th~ésé q~úést~íóñs~ súcc~éssf~úllý~, wé mú~st há~vé á g~úídé~ óñ hó~w tó f~ólló~w thé~ dátá~ thró~úgh t~hé dí~ffér~éñt p~áths~ áñd é~ñtít~íés w~hích~ máý b~é rél~éváñ~t.]  

[Íñ dó~íñg s~ó, áñ í~mpór~táñt~ rúlé~ tó ré~mémb~ér ís~ tó ré~móvé~ áñý é~mótí~óñál~ áttá~chmé~ñt ór~ préc~óñcé~ívéd~ ñótí~óñs. W~é óñl~ý fól~lów t~hé év~ídéñ~cé áñ~d, íñ t~hát r~égár~d, cóñ~téxt~ ís év~érýt~híñg~¡]

[Íñ th~ís pá~rtíc~úlár~ íñcí~déñt~ úñdé~r íñv~éstí~gátí~óñ, óñ~é óbs~érvá~tíóñ~ fróm~ thé ú~sér’s~ cómp~útér~ shór~tlý á~ftér~ rúññ~íñg t~hé “sý~stém~ úpdá~tér” é~xécú~tábl~é wás~ thé f~ólló~wíñg~ pópú~p wíñ~dów:]

[Wé wí~ll bé~gíñ b~ý lóó~kíñg~ át th~é cóñ~téxt~ íñ té~rms ó~f téc~hñíq~úés t~hát f~áll ú~ñdér~ íñdí~cátó~rs óf~ áttá~ck vé~rsús~ íñdí~cátó~rs óf~ cómp~rómí~sé:]

• [Íñdí~cátó~rs óf~ áttá~ck (Íó~Á): íñd~ícát~és áñ~ áttá~ck ís~ béíñ~g átt~émpt~éd ór~ íñ pr~ógré~ss. Hé~ré, sú~spíc~íóús~ pátt~érñs~ áñd b~éháv~ór pr~óvíd~é thé~ íñdí~cátí~óñ. Éx~ámpl~és ár~é:
  ]
  • [Phís~híñg~ émáí~l]  
    
  • [Brút~é fór~cé ló~gíñ á~ttém~pts]
  • [Úñsó~lící~téd é~xtér~ñál V~úlñé~rábí~lítý~ scáñ~]
• [‍Íñdí~cátó~rs óf~ cómp~rómí~sé (Íó~C): éví~déñc~é óf á~ñ átt~áck t~hát h~ás ál~réád~ý háp~péñé~d. Hér~é, kñó~wñ má~lící~óús b~éháv~íóúr~ ór ác~tíví~tý pr~óvíd~és th~é íñd~ícát~íóñ s~úch á~s:
  ]
  • [Ímpó~ssíb~lé tr~ávél~ lógí~ñ / Cóm~próm~íséd~ Lógí~ñ]
  • [Kñów~ñ mál~wáré~ hásh~ dété~ctíó~ñ]
  • [Dátá~ tráñ~sfér~ tó kñ~ówñ m~álíc~íóús~ ÍPs ó~r ÚRL~s (éxf~íltr~átíó~ñ)]

[Wé wí~ll th~éñ pr~ócéé~d tó s~táñd~árdí~zé óú~r ápp~róác~h thr~óúgh~ fóúr~ cáté~górí~és óf~ átté~ñtíó~ñ. Í ré~fér t~ó thí~s ás t~hé “F4” ó~r thé~ “Fóúñ~dátí~óñál~ Fóúr~”:]

1. [Fílé~ sýst~ém (st~órág~é) ‍]
2. [Régí~strý~] ‍
3. [Mémó~rý (RÁ~M) ‍]
4. [Ñétw~órk (c~ómmú~ñícá~tíóñ~ páth~)]

[Úñdé~r thé~sé fó~úñdá~tíóñ~ál ár~éás, w~é wíl~l bé í~ñtér~ésté~d íñ t~hé CR~ÚD óp~érát~íóñs~ (créá~té, ré~ád, úp~dáté~, áñd d~élét~é) áss~ócíá~téd w~íth é~ách t~ó úñd~érst~áñd á~ñý má~lící~óús í~ñtéñ~t:]

• [‍Fílé~ sýst~ém (st~órág~é)
  ]
  • [Créá~tíñg~ á ñéw~ fílé~: Créá~téFí~lé()]
  • [Réád~íñg á~ñ éxí~stíñ~g fíl~é: Réá~dFíl~é()]
  • [Wrít~íñg t~ó áñ é~xíst~íñg f~ílé: W~ríté~Fílé~() ‍]
• [‍Régí~strý~
  ]
  • [Ópéñ~íñg á~ régí~strý~ páth~]
  • [Réád~íñg r~égís~trý k~éý vá~lúés~]
  • [Délé~tíñg~ régí~strý~ kéýs~ ‍]
• [‍Mémó~rý (RÁ~M)
  ]
  • [Créá~tíñg~ á pró~céss~]
    
  • [Créá~tíñg~ thré~áds]
  • [Wrít~íñg í~ñtó p~rócé~ss ‍]
• [‍Ñétw~órk (c~ómmú~ñícá~tíóñ~ páth~)
  ]
  • [Créá~tíñg~ á ñét~wórk~ sóck~ét]
  • [Bíñd~íñg]
  • [Líst~éñíñ~g]

[Thé í~mágé~ ábóv~é shó~ws áñ~ éxám~plé ó~f á có~mbíñ~átíó~ñ óf t~wó óf~ thé F~óúñd~átíó~ñál F~óúr d~étáí~léd í~ñ á Wí~ñdów~s ópé~rátí~ñg sý~stém~. Ít sh~óws t~hé ré~látí~óñsh~íp bé~twéé~ñ mém~órý á~ñd fí~lésý~stém~.]

[Ñéxt~ stép~s: trá~cíñg~ málw~áré á~crós~s thé~ F4]

[Íñ th~é rés~t óf t~hís b~lóg s~éríé~s, wé’l~l fól~lów t~hé év~ídéñ~cé ús~íñg t~hé fó~úr óp~érát~íóñs~ ás th~é fóú~ñdát~íóñ t~ó pró~cééd~.]

[Wé’ll wáñt tó úñdérstáñd hów thé fílé sýstém wás úséd. Fór éxámplé, dróppéd fílés ór fílé ópérátíóñs óñ éxístíñg fílés, áñý régístrý kéý cháñgés, prócéss cháñgés ór máñípúlátíóñ íñ mémórý, áñd whát ñétwórk cóññéctíóñs wéré mádé (áñd whéré díd théý gó tó ór cómé fróm)¿]

[Wé wí~ll th~éñ pr~ócéé~d tó m~áp áñ~ý rél~átíó~ñshí~ps bé~twéé~ñ óúr~ páýl~óád ú~ñdér~ íñvé~stíg~átíó~ñ áñd~ thé F~óúñd~átíó~ñál F~óúr á~réás~.]

[Chéc~k bác~k ñéx~t móñ~th ás~ wé có~ñtíñ~úé th~é íñv~éstí~gátí~óñ¡]

[Wáñt~ tó gé~t pré~páré~d fór~ thés~é kíñ~ds óf~ áttá~cks¿~ Léár~ñ hów~ thé] [Íllú~míó b~réác~h cóñ~táíñ~méñt~ plát~fórm~] [hélp~s ýóú~ cóñt~áíñ t~hé sp~réád~ óf má~lwár~é áñd~ stóp~ áttá~ckér~s fró~m móv~íñg f~réél~ý ácr~óss ý~óúr ñ~étwó~rk.]