Microsoft Defender Artifacts

* TIP 글은 Case 분석 시 참고할만한 내용 혹은 분석 과정에서 발견한 흔적에 대해 실험하고 연구한 내용을 간단히 작성한 글입니다.
This post is related case study or DFIR artifacts research.

* 본 글에서 상세한 내용은 언급되지 않습니다. 자세한 내용은 메일로 연락 주시면 감사하겠습니다.
This post is so simple, If you are interested contact to me(


본 내용은 내부 발표 자료 중 일부를 발췌 한 것입니다.
This is an excerpt of some of the internal presentation materials.

Microsoft Defender는 백그라운드에서 프로세스와 메모리를 대상으로 진행한 행위 기반 스캔 결과를 이벤트로그와 텍스트 파일로 기록합니다.
Microsoft Defender records behavior-based scan results for processes and memory in the background as event logs and text files.

해당 결과에는 프로세스 인젝션, 웹셸 행위 등의 결과가 포함되어 있어 침해사고 분석 시 유용하게 사용될 수 있습니다.
These results include results such as process injection, web shell behavior, etc., which can be useful in analyzing infringement incidents.

You've successfully subscribed to PLAINBIT
Great! Next, complete checkout to get full access to all premium content.
Error! Could not sign up. invalid link.
Welcome back! You've successfully signed in.
Error! Could not sign in. Please try again.
Success! Your account is fully activated, you now have access to all content.
Error! Stripe checkout failed.
Success! Your billing info is updated.
Error! Billing info update failed.