|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
|||
|
|
|
C |
|
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
|
d |
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
||
|
D |
|
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
o |
P |
|
|
|
|
|
NOW! |
o |
|||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
|||||||||
|
|
|
|
to |
314 |
Управление уязвимостями |
|
|
|
to |
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
w Click |
|
|
|
|
|
|
|
|
m |
w Click |
|
|
|
|
|
|
|
m |
||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
|
n |
e |
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
|
|
9. |
|
|
|
Manes G. W. et al. NetGlean: A Methodology for Distributed Network Securi- |
|
|
|
|
|
|
|
|||||||
|
|
|
|
-xcha |
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
ty. Scanning // Journal of Network and Systems Management. 2005. № 13 (3). С.329–344.https://search.proquest.com/docview/201295573?accountid=45049. DOI: http://dx.doi.org/10.1007/s10922-005-6263-2.
10. Foundstone Services // Mcafee.com.2017.https://www.mcafee.com/us/services/ foundstone-services/index.aspx.
Резюме
В этой главе описаны типы ответов, которые организации должны давать при действиях злоумышленников. В предыдущих главах обсуждался жизненный цикл атаки и описывались инструменты и методы, которыми обычно облада- ют злоумышленники. Из этих инструментов и методов был разработан жиз- ненный цикл, способный нейтрализовать их. В этой главе мы обсудили эф- фективный жизненный цикл управления уязвимостями, состоящий из шести этапов. Каждый из этих шагов направлен на то, чтобы сделать жизненный цикл эффективным и подробным, нейтрализовать уязвимости, которые мо- гут эксплуатировать злоумышленники. Хорошо спланированный жизненный цикл гарантирует, что ни один узел сети организации не останется уязвимым для злоумышленников. Жизненный цикл также гарантирует, что организация получает полностью защищенную IT-среду и что злоумышленникам сложно будет найти какие-либо уязвимости для эксплуатации. В этой главе приво- дится набор передовых методов для каждого этапа жизненного цикла. Эти методы направлены на то, чтобы команды реагирования на инциденты и со- трудники IT-служб исчерпывающе использовали каждый шагдля обеспечения безопасности организации. В следующей главе вы узнаете о важности журна- лов и о том, как их анализировать.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
C |
|
E |
|
|
||
|
|
X |
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
||
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
||
|
|
|
|
to |
|
|
|
|
|
w Click |
|
|
|
|
m |
||||
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
n |
|
|
||
|
|
|
|
|
|
Глава 16 |
|||
|
|
|
|
-xcha |
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
Анализ журналов
В главе 13 «Расследование инцидента» вы узнали о процессе расследования и методах поиска нужной информации при расследовании проблемы. Однако для исследования проблемы безопасности часто необходимо просмотреть не- сколько журналов от разных поставщиков и разных устройств. Хотя у каждо- го поставщика могут быть настраиваемые поля в журнале, реальность такова, что, как только вы научитесь читать журналы, вам будет легче переключаться между поставщиками и просто сосредоточиться на дельтах этого поставщика. Хотя существует множество инструментов,которые делают процесс агрегации логов автоматическим, таких как SIEM-решение, будут сценарии, в которых вам нужно будет анализировать журнал вручную, чтобы выяснить причину.
В этой главе мы рассмотрим следующие темы:сопоставление данных;журналы операционной системы;журналы брандмауэра;журналы веб-сервера.
Сопоставление данных
Нет сомнений в том, что большинство организаций будет использовать SIEMрешение для концентрации всех своих журналов в одном месте и применять собственный язык запросовдля поиска по всем журналам.Это является реаль- ностью.Будучипрофессионаломвобластибезопасности,выдолжнызнать,как перемещаться по различным событиям, журналам и артефактам для проведе- ния более глубоких исследований. Во многих случаях данные, полученные от SIEM, будут полезны для определения угрозы, ее участников и сужения числа скомпрометированных систем, но в некоторых случаях этого недостаточно. Тогда вам нужно найти основную причину и устранить угрозу.
По этой причине каждый раз при выполнении анализа данных важно ду- мать о том, как части этой головоломки будут работать вместе.
На рис. 16.1 показан пример такого подхода к сопоставлению данных для просмотра журналов.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
316 |
|||||
w Click |
|
|||||||||
|
|
|
|
|
|
m |
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Анализ журналов
1 |
2 |
Журналы |
Журналы |
операционной системы |
брандмауэра |
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
4 |
3 |
Журналы |
Журналы |
веб-сервера |
брандмауэра |
|
Рис.16.1 |
Давайте посмотрим, как работает эта блок-схема: |
|
1)специалист начинает просматривать признаки компрометации в жур- налах операционной системы. В ОС обнаружено много подозрительных действий,и,просмотрев файл предварительной выборки Windows,мож- но сделатьвывод,что подозрительный процесс установил обменданны- ми с внешним объектом. Теперь настало время просмотреть журналы брандмауэра, чтобы проверить дополнительную информацию об этом соединении;
2)журналыбрандмауэрапоказывают,чтосоединениемеждурабочейстан- цией и внешним сайтом было установлено с использованием протокола TCP на порту 443 и что оно было зашифровано;
3)во время этого обмена данными с внешнего сайта был инициирован на внутренний веб-сервер обратный вызов. Пришло время просмотреть файлы журналов веб-сервера;
4)специалистпродолжаетпроцесскорреляцииданных,просматриваяжур- налы IIS, расположенные на этом веб-сервере. Он узнает, что злоумыш ленник предпринял атаку с использованием SQL-инъекции на этот вебсервер.
Журналы для доступа, информация, которую мы ищем, и, самое главное, рассмотрение всех этих данных в контекстуальной манере – за всем этим сто- ит определенная логика.
Журналы операционной системы
Типыжурналов,доступныхвоперационнойсистеме,могутразличаться.Вэтой книге мы сосредоточимся на основных журналах, которые актуальны с точки зрения безопасности. Будем использовать операционные системы Windows и Linux, чтобы продемонстрировать это.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
|
|
|
|
|
BUY |
|
|
|||
|
|
|
|
to |
|
|
|
|
|
|
w Click |
|
|
|
|
|
m |
||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
|
e |
|
|
|
|
|
|
|
Журналы Windows |
|||||
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
-xcha |
|
|
|
|
||
Журналы операционной системы
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
317to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
В операционной системе Windows наиболее важные журналы, связанные с безопасностью ,доступны через Просмотр событий.В главе 13 «Расследова- ние инцидента» мы рассказали о наиболее распространенных событиях,кото- рые следует рассмотреть в ходе расследования. Хотя события могут легко рас- полагаться в окне Просмотр событий, вы также можете получить отдельные файлы в Windows\System32\winevt\Logs, как показано на рис. 16.2.
Рис.16.2
Однако анализ журналов в операционной системе не обязательно ограни- чивается информацией о логировании, предоставляемой ОС, особенно в Win- dows.Естьидругие источники информации,которые вы можете использовать, включая файлы предварительной выборки (Windows Prefetch). Они содержат соответствующую информацию, касающуюся выполнения процесса, и могут быть полезны при попытке понять, был ли запущен вредоносный процесс
икакие действия были выполнены в результате этого.
ВWindows 10 у вас также есть журналы OneDrive (C:\Users\<USERNAME>\AppData\ Local\Microsoft\OneDrive\logs), что может быть полезно. Если вы исследуете из- влечение данных, это может быть удобно, чтобы проверить, было ли соверше- но какое-либо нарушение. Просмотрите файл SyncDiagnostics.log для получе- ния дополнительной информации.
Для синтаксического анализа файлов предварительной загрузки Windows используйте этот сценарий на языке Python по адресу: https://github.com/PoorBillionaire/Windows- Prefetch-Parser.
Еще одно важное расположение файлов – это место, где Windows хранит файлы аварийного дампа программ, запущенных пользователем, а именно:
C:\Users\<username>\AppData\Local\CrashDumps. Эти файлы являются важными ар-
тефактами, которые можно использовать для выявления потенциальных вре- доносных программ в системе.
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||||||
|
|
X |
|
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
||||||
|
- |
|
|
|
|
|
d |
|
|
|
- |
|
|
|
|
|
d |
|
||||||
|
F |
|
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
|
t |
|
|||
|
D |
|
|
|
|
|
|
|
|
i |
|
|
D |
|
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
|
|
|
r |
|
|
|
|
|
|
|
|
|
r |
||||
P |
|
|
|
|
|
NOW! |
|
o |
P |
|
|
|
|
|
NOW! |
o |
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||||||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
|
BUY |
|
|
||||||||
|
|
|
|
to |
318 Анализ журналов |
|
|
|
|
to |
|
|
|
|
|
|
||||||||
w Click |
|
w Click |
|
|
|
|
|
|
|
|||||||||||||||
|
|
|
|
|
|
|
|
m |
|
|
|
|
|
|
|
m |
||||||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
|
||
|
w |
|
|
|
|
|
|
|
|
|
o |
|
|
w |
|
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
|||||||
|
|
p |
|
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
||||
|
|
|
df |
|
|
n |
e |
|
|
|
|
|
df |
|
|
n |
e |
|
||||||
|
|
|
|
-xcha |
|
|
|
|
Один из распространенных типов атак, которые могут быть обнаружены |
|
|
|
|
|
|
|
||||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
-x cha |
|
|
|
|
|
|||||
в файле дампа,–атака с использованием внедрения кода.Это происходит при размещении исполняемых модулей в запущенных процессах или потоках. Этотметод в основном используется вредоноснымипрограммамидлядоступа кданным,чтобыспрятатьсяилинедатьсебяудалить(персистентность).Важно подчеркнуть,чтолегитимныеразработчикипрограммногообеспечениямогут время отвремени использоватьметоды внедрения кода не по злонамеренным причинам,таким как изменение существующего приложения.
Чтобы открыть файлы дампа,вам нужен отладчик,такой как WinDbg (http:// www.windbg.org),атакженеобходимысоответствующиенавыкидлянавигации по файлудампа,чтобы определитьосновную причину сбоя.Если у вас нетэтих навыков, вы также можете использовать Instant Online Crash Analysis (http:// www.osronline.com).
Приведенные ниже результаты представляют собой краткое изложение автоматизированного анализа с использованием этого онлайн-инструмента (основные области, которым следует уделить внимание, выделены жирным шрифтом):
TRIAGER: Could not open triage file : e:dump_analysisprogramtriageguids.ini, error 2 TRIAGER: Could not open triage file : e:dump_analysisprogramtriagemodclass.ini, error 2 GetUrlPageData2 (WinHttp) failed: 12029.
*** The OS name list needs to be updated! Unknown Windows version: 10.0 ***
FAULTING_IP: eModel!wil::details::ReportFailure+120 00007ffe`be134810 cd29 int 29h
EXCEPTION_RECORD: ffffffffffffffff -- (.exr 0xffffffffffffffff) ExceptionAddress: 00007ffebe134810 (eModel!wil::details::ReportFailure+0x0000000000000120)
ExceptionCode: c0000409 (Stack buffer overflow) ExceptionFlags: 00000001
NumberParameters: 1 Parameter[0]: 0000000000000007
PROCESS_NAME: MicrosoftEdge.exe
EXCEPTION_CODE: (NTSTATUS) 0xc0000409:
Система обнаружила переполнение стекового буфера в этом приложении. Переполнение потенциально может позволить злоумышленнику получить контроль над этим приложением.
EXCEPTION_PARAMETER1: 0000000000000007
NTGLOBALFLAG: 0
APPLICATION_VERIFIER_FLAGS: 0
FAULTING_THREAD: 0000000000003208
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|
||
|
|
X |
|
|
|
|
|
|
||
|
- |
|
|
|
|
d |
|
|
||
|
F |
|
|
|
|
|
t |
|
|
|
|
D |
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
|
||
P |
|
|
|
|
|
NOW! |
o |
|
||
|
|
|
|
|
|
|
|
|||
|
|
|
|
|
BUY |
|
|
Журналы операционной системы |
||
|
|
|
|
to |
|
|
|
|
||
w Click |
|
|
|
|
m |
|||||
|
|
|
|
|
|
|||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
o |
|
|
|
. |
|
|
|
|
.c |
|
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
|
e |
|
|
|
|
|
|
|
|
n |
|
|
|
||
|
|
|
|
|
|
BUGCHECK_STR: APPLICATION_FAULT_STACK_BUFFER_OVERRUN_MISSING_GSFRAME_SEHOP |
||||
|
|
|
|
-xcha |
|
|
|
|
||
|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
C |
|
E |
|
|
|||
|
|
X |
|
|
|
|
|
|||
|
- |
|
|
|
|
|
d |
|
||
|
F |
|
|
|
|
|
|
t |
|
|
|
D |
|
|
|
|
|
|
|
i |
|
|
|
|
|
|
|
|
|
r |
||
P |
|
|
|
|
|
NOW! |
o |
|||
|
|
|
|
|
|
|
||||
319to |
BUY |
|
|
|||||||
|
|
|
|
|
||||||
|
|
|
|
|
m |
|||||
w Click |
|
|
|
|
|
|
||||
w |
|
|
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
o |
|
|
. |
|
|
|
|
|
.c |
|
||
|
|
p |
|
|
|
|
g |
|
|
|
|
|
|
df |
|
|
n |
e |
|
||
|
|
|
|
-x cha |
|
|
|
|
||
PRIMARY_PROBLEM_CLASS: STACK_BUFFER_OVERRUN_SEHOP
DEFAULT_BUCKET_ID: STACK_BUFFER_OVERRUN_SEHOP
LAST_CONTROL_TRANSFER: from 00007ffebe1349b0 to 00007ffebe134810
STACK_TEXT:
000000d4`dc4fa910 00007ffe`be1349b0 : ffffffff`ffffffec 00007ffe`df5e0814 000000d4`dc4fc158 000002bb`a1d20820 : eModel!wil::details::ReportFailure+0x120
000000d4`dc4fbe50 00007ffe`be0fa485 : 00000000`00000000 00007ffe`df5ee52e 000002bb`ac0f5101 00007ffe`be197771 : eModel!wil::details::ReportFailure_Hr+0x44
000000d4`dc4fbeb0 00007ffe`be0fd837 : 000002bb`ab816b01 00000000`00000000 00000000`00010bd8 000002bb`00000000 : eModel!wil::details::in1diag3::FailFast_Hr+0x29
000000d4`dc4fbf00 00007ffe`be12d7dd : 00000000`00010bd8 00000000`00000000 00000000`80070001 000000d4`dc4ffa60 : eModel!FailFastOnReparenting+0xf3 000000d4`dc4ffc00 00007ffe`be19e5b8 : 000002bb`ab816b20 00000000`00000000 00000000`00000000 000002bb`a16b7bb8 : eModel!SetParentInBrokerInternal+0x40b5d
000000d4`dc4ffc40 00007ffe`be19965c : 00000000`00000000 000002bb`ac0f51f0 000002bb`ac0f51f4 000002bb`ac0f50c0 : eModel!CTabWindowManager::_AttemptFrameFastShutdown+0x118 000000d4`dc4ffc90 00007ffe`be19634e : 000002bb`c0061b00 000000d4`dc4ffd00 00007ffe`be0a9e00 00000000`00000001 : eModel!CTabWindowManager::CloseAllTabs+0x6c
000000d4`dc4ffcd0 00007ffe`be114a0b : 00000000`00000000 00007ffe`be0a9ed0 000002bb`c0061b00 000002bb`c0061b00 : eModel!CBrowserFrame::_OnClose+0x106 000000d4`dc4ffd50 00007ffe`be07676e : 00000000`00000000 00000000`00000000 00000000`00000000 000002bb`c00711f0 : eModel!CBrowserFrame::FrameMessagePump+0x6e63b
000000d4`dc4ffe30 00007ffe`be076606 : 000002bb`00032401 000002bb`c0061b00 000000d4`dc4fff50 000002bb`c00711f0 : eModel!_BrowserThreadProc+0xda 000000d4`dc4ffeb0 00007ffe`be0764a9 : 00000000`00000001 000002bb`c0071218 000000d4`dc4fff50 00000000`00000000 : eModel!_BrowserNewThreadProc+0x56 000000d4`dc4ffef0 00007ffe`dea68364 : 000002bb`aae03cd0 00000000`00000000 00000000`00000000 00000000`00000000 : eModel!SHOpenFolderWindow+0xb9 000000d4`dc4fff60 00007ffe`e13470d1 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : kernel32!BaseThreadInitThunk+0x14 000000d4`dc4fff90 00000000`00000000 : 00000000`00000000 00000000`00000000 00000000`00000000 00000000`00000000 : ntdll!RtlUserThreadStart+0x21
Вэтоманализесбоев,выполненномспомощьюInstantOnlineCrashAnalysis,
унас есть переполнение стекового буфера в Microsoft Edge. Теперь вы можете сопоставить этот журнал (день, когда произошел сбой) с другой информаци- ей, доступной в Event Viewer (журналами безопасности и приложений), чтобы проверить,былли запущен какой-либо подозрительный процесс,который по- тенциально мог получить доступ к этому приложению. Помните, что в конце концов вам необходимо выполнить сопоставление данных, чтобы получить
более осязаемую информацию о конкретном событии и его виновнике.