Ziel ist es zu analysieren, welche ETW-Nachrichten von Microsoft Defender Antivirus verarbeitet werden. Des Weiteren wird gezeigt, wie diese Nachrichten verwendet werden können, um Bedrohungen durch Malware zu identifizieren. Diese Arbeit baut auf der Methodik auf, die im Arbeitspaket AFUNKT vorgestellt wurde. Im Einzelnen wird eine Einführung in die ETW-Technologie und eine Architekturübersicht über Microsoft Defender Antivirus gemacht sowie eine Erläuterung gegeben, wie dessen ETW-Sitzungen geschützt sind. Zudem wird an Beispielen gezeigt, wie die ETW-Nachrichten von Microsoft Defender Antivirus verwendet werden können, um Bedrohungen zu erkennen.

• Microsoft Defender Antivirus

Inhaltsverzeichnis (Auszug)

1 Einleitung
1.1 Zusammenfassung
2 Übersicht
2.1 Event Tracing for Windows
2.2 Architektur-Übersicht
2.3 ETW Zugriffskontrolle
3 Exemplarische Datenanalyse
3.1 Statische Signaturerkennung
3.2 Dynamische Erkennung von Process Injection