· 6 years ago · Oct 18, 2019, 02:34 AM
1<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
2<?mso-application progid="Word.Document"?><w:wordDocument xmlns:w="http://schemas.microsoft.com/office/word/2003/wordml" xmlns:wx="http://schemas.microsoft.com/office/word/2003/auxHint" xmlns:o="urn:schemas-microsoft-com:office:office" xmlns:aml="http://schemas.microsoft.com/aml/2001/core" xmlns:dt="uuid:C2F41010-65B3-11d1-A29F-00AA00C14882" xmlns:v="urn:schemas-microsoft-com:vml" xmlns:w10="urn:schemas-microsoft-com:office:word" xmlns:number="urn:oasis:names:tc:opendocument:xmlns:datastyle:1.0" xml:space="preserve" w:embeddedObjPresent="no">
3 <o:DocumentProperties xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0"><o:Title/><o:Subject/><o:Keywords/><o:Description/><o:Category/><o:Author/><o:LastAuthor/><o:Manager/><o:Company/><o:HyperlinkBase/><o:Revision/><o:TotalTime/><o:LastPrinted/><o:Created/><o:LastSaved/><o:Pages>4</o:Pages><o:Words>999</o:Words><o:Characters>19705</o:Characters><o:Paragraphs>1</o:Paragraphs></o:DocumentProperties><o:CustomDocumentProperties xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0"><o:Editor dt:dt="string">LibreOffice/6.2.5.2$Linux_X86_64 LibreOffice_project/20$Build-2</o:Editor><o:Language dt:dt="string"/></o:CustomDocumentProperties>
4 <w:fonts><w:defaultFonts w:ascii="" w:h-ansi="" w:fareast="" w:cs=""/><w:font w:name="Lohit Devanagari1"><w:family w:val="System"/><w:pitch w:val=""/></w:font><w:font w:name="Liberation Serif"><w:family w:val="Roman"/><w:pitch w:val="variable"/></w:font><w:font w:name="Liberation Sans"><w:family w:val="Swiss"/><w:pitch w:val="variable"/></w:font><w:font w:name="Lohit Devanagari"><w:family w:val="System"/><w:pitch w:val="variable"/></w:font><w:font w:name="Noto Sans CJK SC"><w:family w:val="System"/><w:pitch w:val="variable"/></w:font><w:font w:name="Noto Serif CJK SC"><w:family w:val="System"/><w:pitch w:val="variable"/></w:font></w:fonts>
5
6 <w:lists xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0"><w:listDef w:listDefId="0"><w:lvl w:ilvl="0"><w:start w:val="1"/><w:nfc w:val="255"/><w:lvlText w:val="%1"/><w:lvlJc w:val="left"/><w:suff w:val="Nothing"/></w:lvl><w:lvl w:ilvl="1"><w:start w:val="1"/><w:nfc w:val="255"/><w:lvlText w:val="%2"/><w:lvlJc w:val="left"/><w:suff w:val="Nothing"/></w:lvl><w:lvl w:ilvl="2"><w:start w:val="1"/><w:nfc w:val="255"/><w:lvlText w:val="%3"/><w:lvlJc w:val="left"/><w:suff w:val="Nothing"/></w:lvl><w:lvl w:ilvl="3"><w:start w:val="1"/><w:nfc w:val="255"/><w:lvlText w:val="%4"/><w:lvlJc w:val="left"/><w:suff w:val="Nothing"/></w:lvl><w:lvl w:ilvl="4"><w:start w:val="1"/><w:nfc w:val="255"/><w:lvlText w:val="%5"/><w:lvlJc w:val="left"/><w:suff w:val="Nothing"/></w:lvl><w:lvl w:ilvl="5"><w:start w:val="1"/><w:nfc w:val="255"/><w:lvlText w:val="%6"/><w:lvlJc w:val="left"/><w:suff w:val="Nothing"/></w:lvl><w:lvl w:ilvl="6"><w:start w:val="1"/><w:nfc w:val="255"/><w:lvlText w:val="%7"/><w:lvlJc w:val="left"/><w:suff w:val="Nothing"/></w:lvl><w:lvl w:ilvl="7"><w:start w:val="1"/><w:nfc w:val="255"/><w:lvlText w:val="%8"/><w:lvlJc w:val="left"/><w:suff w:val="Nothing"/></w:lvl><w:lvl w:ilvl="8"><w:start w:val="1"/><w:nfc w:val="255"/><w:lvlText w:val="%9"/><w:lvlJc w:val="left"/><w:suff w:val="Nothing"/></w:lvl></w:listDef><w:list w:ilfo="1"><w:ilst w:val="0"/></w:list></w:lists>
7
8 <w:styles>
9 <w:style w:styleId="default-paragraph-style" w:type="paragraph" w:default="on"><w:name w:val="default-paragraph-style"/><w:pPr xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0"><w:adjustRightInd w:val="off"/><w:spacing/><w:ind/><w:widowControl w:val="off"/><w:pBdr/><w:ind/></w:pPr><w:rPr xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0"><w:rFonts w:ascii="Liberation Serif" w:h-ansi="Liberation Serif" w:fareast="Noto Serif CJK SC" w:cs="Lohit Devanagari"/><w:sz w:val="24"/><w:lang w:val="en-AU"/></w:rPr></w:style><w:style w:styleId="default-table-style" w:type="table" w:default="on"><w:name w:val="default-table-style"/><w:tblPr><w:tblInd xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0" w:w="0" w:type="auto"/></w:tblPr></w:style><w:style w:styleId="Standard" w:type="paragraph"><w:basedOn w:val="default-paragraph-style"/><w:name w:val="Standard"/></w:style><w:style w:styleId="Heading" w:type="paragraph"><w:basedOn w:val="Standard"/><w:name w:val="Heading"/><w:next w:val="Text_20_body"/><w:pPr xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0"><w:adjustRightInd w:val="off"/><w:spacing w:before="239.841" w:after="120.204"/><w:ind/><w:widowControl w:val="off"/><w:pBdr/><w:ind/></w:pPr><w:rPr xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0"><w:rFonts w:ascii="Liberation Sans" w:h-ansi="Liberation Sans" w:fareast="Noto Sans CJK SC" w:cs="Lohit Devanagari"/><w:sz w:val="28"/></w:rPr></w:style><w:style w:styleId="Text_20_body" w:type="paragraph"><w:basedOn w:val="Standard"/><w:name w:val="Text_20_body"/><w:pPr xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0"><w:adjustRightInd w:val="off"/><w:spacing w:line-rule="auto" w:line="276" w:before="0" w:after="140.049"/><w:ind/><w:widowControl w:val="off"/><w:pBdr/><w:ind/></w:pPr></w:style><w:style w:styleId="List" w:type="paragraph"><w:basedOn w:val="Text_20_body"/><w:name w:val="List"/><w:rPr xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0"><w:rFonts w:cs="Lohit Devanagari1"/></w:rPr></w:style><w:style w:styleId="Caption" w:type="paragraph"><w:basedOn w:val="Standard"/><w:name w:val="Caption"/><w:pPr xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0"><w:adjustRightInd w:val="off"/><w:spacing w:before="120.204" w:after="120.204"/><w:ind/><w:widowControl w:val="off"/><w:supressLineNumbers/><w:pBdr/><w:ind/></w:pPr><w:rPr xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0"><w:rFonts w:cs="Lohit Devanagari1"/><w:sz w:val="24"/><w:i/></w:rPr></w:style><w:style w:styleId="Index" w:type="paragraph"><w:basedOn w:val="Standard"/><w:name w:val="Index"/><w:pPr xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0"><w:adjustRightInd w:val="off"/><w:spacing/><w:ind/><w:widowControl w:val="off"/><w:supressLineNumbers/><w:pBdr/><w:ind/></w:pPr><w:rPr xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0"><w:rFonts w:cs="Lohit Devanagari1"/></w:rPr></w:style>
10 <w:style w:styleId="P1" w:type="paragraph"><w:basedOn w:val="Standard"/><w:name w:val="P1"/><w:hidden w:val="on"/><w:pPr xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0"><w:adjustRightInd w:val="off"/><w:spacing/><w:ind/><w:widowControl w:val="off"/><w:pBdr/><w:ind/></w:pPr></w:style>
11 <w:style xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0" w:type="character" w:styleId="Hyperlink"><w:name w:val="Hyperlink"/><w:rsid w:val="006A55B0"/><w:rPr><w:color w:val="000080"/><w:u w:val="single"/></w:rPr></w:style><w:style xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0" w:type="character" w:styleId="FollowedHyperlink"><w:name w:val="FollowedHyperlink"/><w:rsid w:val="006A55B0"/><w:rPr><w:color w:val="800000"/><w:u w:val="single"/></w:rPr></w:style>
12
13 <w:style xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0" w:type="character" w:styleId="CommentReference"><w:name w:val="annotation reference"/><w:basedOn w:val="DefaultParagraphFont"/><w:semiHidden/><w:rsid w:val="007770B7"/><w:rPr><w:sz w:val="16"/><w:sz-cs w:val="16"/></w:rPr></w:style><w:style xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0" w:type="paragraph" w:styleId="CommentText"><w:name w:val="annotation text"/><w:basedOn w:val="Normal"/><w:semiHidden/><w:rsid w:val="007770B7"/><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:rPr><w:sz w:val="20"/><w:sz-cs w:val="20"/></w:rPr></w:style><w:style xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0" w:type="paragraph" w:styleId="CommentSubject"><w:name w:val="annotation subject"/><w:basedOn w:val="CommentText"/><w:next w:val="CommentText"/><w:semiHidden/><w:rsid w:val="007770B7"/><w:pPr><w:pStyle w:val="CommentSubject"/></w:pPr><w:rPr><w:b/><w:b-cs/></w:rPr></w:style>
14
15 </w:styles>
16
17 <w:docPr xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0"><w:displayBackgroundShape/><w:view w:val="print"/><w:zoom w:percent=""/><w:defaultTabStop w:val="709.317"/><w:docVars/></w:docPr>
18 <w:body><w:p xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0"><w:pPr><w:pStyle w:val="P1"/></w:pPr><aml:annotation w:type="Word.Comment.Start" aml:id="1"/><aml:annotation w:type="Word.Comment.End" aml:id="1"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="1"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!-- sysmon-config | A Sysmon configuration focused on default high-quality event tracing and easy customization by the community</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>Master version:</w:t></w:r><w:r><w:t>64 | Date: 2018-01-30</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>Master author:</w:t></w:r><w:r><w:t>@SwiftOnSecurity, other contributors also credited in-line or on Git</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>Master project:</w:t></w:r><w:r><w:t>https://github.com/SwiftOnSecurity/sysmon-config</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>Master license:</w:t></w:r><w:r><w:t>Creative Commons Attribution 4.0 | You may privatize, fork, edit, teach, publish, or deploy for commercial use - with attribution in the text.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>Fork version:</w:t></w:r><w:r><w:t><N/A></w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>Fork author:</w:t></w:r><w:r><w:t><N/A></w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>Fork project:</w:t></w:r><w:r><w:t><N/A></w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>Fork license:</w:t></w:r><w:r><w:t><N/A></w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>REQUIRED: Sysmon version 7.01 or higher (due to changes in registry syntax and bug-fixes)</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>https://docs.microsoft.com/en-us/sysinternals/downloads/sysmon</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Note that 6.03 and 7.01 have critical fixes for filtering, it's recommended you stay updated.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>NOTE: To collect Sysmon logs centrally for free, see https://aka.ms/WEF. Command to allow log access to the Network Service:</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>wevtutil.exe sl Microsoft-Windows-Sysmon/Operational /ca:O:BAG:SYD:(A;;0xf0005;;;SY)(A;;0x5;;;BA)(A;;0x1;;;S-1-5-32-573)(A;;0x1;;;NS)</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>NOTE: Do not let the size and complexity of this configuration discourage you from customizing it or building your own.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>This configuration is based around known, high-signal event tracing, and thus appears complicated, but it's only very</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>detailed. Significant effort over years has been invested in front-loading as much filtering as possible onto the</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>client. This is to make analysis of intrusions possible by hand, and to try to surface anomalous activity as quickly</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>as possible to any technician armed only with Event Viewer. Its purpose is to democratize system monitoring for all organizations.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>NOTE: Sysmon is NOT a whitelist solution or HIDS engine, it is a computer change and event logging tool with very basic exclude rules.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Do NOT ignore everything possible. Sysmon's purpose is providing context during a threat or problem investigation. Legitimate</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>processes are routinely used by threats - do not blindly exclude them. Additionally, be mindful of process-hollowing / imitation.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>NOTE: Sysmon is not hardened against an attacker with admin rights. Additionally, this configuration offers an attacker, willing</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>to study it, many ways to evade some of the logging. If you are in a high-threat environment, you should consider a much broader</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>log-most approach. However, in the vast majority of cases, an attacker will bumble along through multiple behavioral traps which</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>this configuration monitors, especially in the first minutes.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>TECHNICAL:</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>- Run sysmon.exe -? for a briefing on Sysmon configuration.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>- Other languages may require localization. Registry and Filesystem paths can change. For example, \shell\open\command\, where "open" is localized.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>- Sysmon does not support nested/multi-conditional rules. There are only blanket INCLUDE and EXCLUDE. "Exclude" rules override "Include" rules.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>- If you only specify exclude for a filtering subsection, everything in that subsection is logged by default.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>- Some Sysmon monitoring abilities are not meant for widely deployed general-purpose use due to performance impact. Depends on environment.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>- Duplicate or overlapping "Include" rules do not result in duplicate events being logged.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>- All characters enclosed by XML tags are always interpreted literally. Sysmon does not support wildcards (*), alternate characters, or RegEx.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>- In registry events, the value name is appended to the full key path with a "\" delimiter. Default key values are named "\(Default)"</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>- "Image" is a technical term for a compiled binary file like an EXE or DLL. Also, it can match just the filename, or entire path.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>- "ProcessGuid" is randomly generated, assigned, and tracked by Sysmon to assist in tracing individual process launches. Cleared on service restart.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>- "LoginGuid" is randomly generated, assigned, and tracked by Sysmon to assist in tracing individual user sessions. Cleared on service restart.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>- Sysmon does not track which rule caused an event to be logged.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>FILTERING: Filter conditions available for use are: is, is not, contains, excludes, begin with, end with, less than, more than, image</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>- The "image" filter is usable with any field. Same as "is" but can either match the entire string, or only the text after the last "\" in the string. Credit: @mattifestation</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t> </w:t></w:r><w:r><w:t>PERFORMANCE: By using "end with" you can save performance by starting a string match at the end of a line, which usually triggers earlier.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="2"/><aml:annotation w:type="Word.Comment.End" aml:id="2"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="2"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON META CONFIG--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t>md5,sha256</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="3"/><aml:annotation w:type="Word.Comment.End" aml:id="3"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="3"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Both MD5 and SHA256 are the industry-standard algorithms for identifying files</w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="4"/><aml:annotation w:type="Word.Comment.End" aml:id="4"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="4"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Check loaded drivers, log if their code-signing certificate has been revoked, in case malware stole one to sign a kernel driver</w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="5"/><aml:annotation w:type="Word.Comment.End" aml:id="5"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="5"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><ImageLoad/></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="6"/><aml:annotation w:type="Word.Comment.End" aml:id="6"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="6"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Would manually force-on ImageLoad monitoring, even without configuration below. Included only documentation.</w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="7"/><aml:annotation w:type="Word.Comment.End" aml:id="7"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="7"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><ProcessAccessConfig/></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="8"/><aml:annotation w:type="Word.Comment.End" aml:id="8"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="8"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Would manually force-on ProcessAccess monitoring, even without configuration below. Included only documentation.</w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="9"/><aml:annotation w:type="Word.Comment.End" aml:id="9"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="9"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><PipeMonitoringConfig/></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="10"/><aml:annotation w:type="Word.Comment.End" aml:id="10"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="10"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Would manually force-on PipeCreated / PipeConnected events, even without configuration below. Included only documentation.</w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="11"/><aml:annotation w:type="Word.Comment.End" aml:id="11"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="11"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 1 : PROCESS CREATION [ProcessCreate]--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="12"/><aml:annotation w:type="Word.Comment.End" aml:id="12"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="12"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: All process launched will be included, except for what matches a rule below. It's best to be as specific as possible, to</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>avoid user-mode executables imitating other process names to avoid logging, or if malware drops files in an existing directory.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Ultimately, you must weigh CPU time checking many detailed rules, against the risk of malware exploiting the blindness created.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Beware of Masquerading, where attackers imitate the names and paths of legitimate tools. Ideally, you'd use both file path and</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>code signatures to validate, but Sysmon does not support that. Look into Windows Device Guard for whitelisting support. --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="13"/><aml:annotation w:type="Word.Comment.End" aml:id="13"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="13"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DATA: UtcTime, ProcessGuid, ProcessID, Image, FileVersion, Description, Product, Company, CommandLine, CurrentDirectory, User, LogonGuid, LogonId, TerminalSessionId, IntegrityLevel, Hashes, ParentProcessGuid, ParentProcessId, ParentImage, ParentCommandLine--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="14"/><aml:annotation w:type="Word.Comment.End" aml:id="14"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="14"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Microsoft Windows--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\DllHost.exe /Processid</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="15"/><aml:annotation w:type="Word.Comment.End" aml:id="15"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="15"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\SearchIndexer.exe /Embedding</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="16"/><aml:annotation w:type="Word.Comment.End" aml:id="16"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="16"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Search Indexer--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\CompatTelRunner.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="17"/><aml:annotation w:type="Word.Comment.End" aml:id="17"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="17"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Customer Experience Improvement--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\audiodg.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="18"/><aml:annotation w:type="Word.Comment.End" aml:id="18"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="18"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Launched constantly--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\conhost.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="19"/><aml:annotation w:type="Word.Comment.End" aml:id="19"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="19"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Command line interface host process--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\musNotification.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="20"/><aml:annotation w:type="Word.Comment.End" aml:id="20"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="20"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Update pop-ups--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\musNotificationUx.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="21"/><aml:annotation w:type="Word.Comment.End" aml:id="21"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="21"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Update pop-ups--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\powercfg.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="22"/><aml:annotation w:type="Word.Comment.End" aml:id="22"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="22"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Power configuration management--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\sndVol.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="23"/><aml:annotation w:type="Word.Comment.End" aml:id="23"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="23"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Volume control--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\sppsvc.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="24"/><aml:annotation w:type="Word.Comment.End" aml:id="24"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="24"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Software Protection Service--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\wbem\WmiApSrv.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="25"/><aml:annotation w:type="Word.Comment.End" aml:id="25"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="25"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: WMI performance adapter host process--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\System32\plasrv.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="26"/><aml:annotation w:type="Word.Comment.End" aml:id="26"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="26"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Performance Logs and Alerts DCOM Server--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\System32\wifitask.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="27"/><aml:annotation w:type="Word.Comment.End" aml:id="27"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="27"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Wireless Background Task--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Common Files\microsoft shared\ink\TabTip32.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="28"/><aml:annotation w:type="Word.Comment.End" aml:id="28"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="28"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Touch Keyboard and Handwriting Panel Helper--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\System32\smartscreen.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="29"/><aml:annotation w:type="Word.Comment.End" aml:id="29"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="29"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Microsoft:Windows: Smartscreen, checks malicious websites and files https://www.howtogeek.com/320711/what-is-smartscreen-and-why-is-it-running-on-my-pc/</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\System32\msfeedssync.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="30"/><aml:annotation w:type="Word.Comment.End" aml:id="30"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="30"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Microsoft:Windows: Microsoft Feeds Synchronization https://superuser.com/questions/445995/msfeedssync-exe-what-does-it-do</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\System32\RuntimeBroker.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="31"/><aml:annotation w:type="Word.Comment.End" aml:id="31"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="31"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Microsoft:Windows: Runtime Broker https://www.howtogeek.com/268240/what-is-runtime-broker-and-why-is-it-running-on-my-pc/</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\System32\TokenBrokerCookies.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="32"/><aml:annotation w:type="Word.Comment.End" aml:id="32"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="32"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: SSO sign-in assistant for MicrosoftOnline.com--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\windows\system32\wermgr.exe -queuereporting</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="33"/><aml:annotation w:type="Word.Comment.End" aml:id="33"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="33"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Windows error reporting/telemetry--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\windows\system32\wermgr.exe -queuereporting</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="34"/><aml:annotation w:type="Word.Comment.End" aml:id="34"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="34"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Windows error reporting/telemetry--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> "C:\Windows\system32\wermgr.exe" "-queuereporting_svc"</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="35"/><aml:annotation w:type="Word.Comment.End" aml:id="35"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="35"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Windows error reporting/telemetry--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\WINDOWS\system32\wermgr.exe -upload</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="36"/><aml:annotation w:type="Word.Comment.End" aml:id="36"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="36"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Windows error reporting/telemetry--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \SystemRoot\System32\smss.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="37"/><aml:annotation w:type="Word.Comment.End" aml:id="37"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="37"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Bootup: Windows Session Manager--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \??\C:\WINDOWS\system32\autochk.exe *</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="38"/><aml:annotation w:type="Word.Comment.End" aml:id="38"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="38"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Bootup: Auto Check Utility--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> AppContainer</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="39"/><aml:annotation w:type="Word.Comment.End" aml:id="39"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="39"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Don't care about sandboxed processes--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> %%SystemRoot%%\system32\csrss.exe ObjectDirectory=\Windows</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="40"/><aml:annotation w:type="Word.Comment.End" aml:id="40"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="40"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:CommandShell: Triggered when programs use the command shell, but doesn't provide attribution for what caused it--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\SearchIndexer.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="41"/><aml:annotation w:type="Word.Comment.End" aml:id="41"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="41"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Search: Launches many uninteresting sub-processes--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\mobsync.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="42"/><aml:annotation w:type="Word.Comment.End" aml:id="42"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="42"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Network file syncing--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\wbem\wmiprvse.exe -Embedding</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="43"/><aml:annotation w:type="Word.Comment.End" aml:id="43"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="43"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: WMI provider host--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\wbem\wmiprvse.exe -secured -Embedding</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="44"/><aml:annotation w:type="Word.Comment.End" aml:id="44"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="44"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: WMI provider host--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\SppExtComObj.Exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="45"/><aml:annotation w:type="Word.Comment.End" aml:id="45"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="45"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: KMS activation--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\PrintIsolationHost.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="46"/><aml:annotation w:type="Word.Comment.End" aml:id="46"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="46"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Printing--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="47"/><aml:annotation w:type="Word.Comment.End" aml:id="47"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="47"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Microsoft:Windows:Defender--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files\Windows Defender</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="48"/><aml:annotation w:type="Word.Comment.End" aml:id="48"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="48"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Defender in Win10--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\MpSigStub.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="49"/><aml:annotation w:type="Word.Comment.End" aml:id="49"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="49"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Microsoft Malware Protection Signature Update Stub--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\SoftwareDistribution\Download\Install\AM_</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="50"/><aml:annotation w:type="Word.Comment.End" aml:id="50"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="50"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Defender: Signature updates--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="51"/><aml:annotation w:type="Word.Comment.End" aml:id="51"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="51"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Microsoft:Windows:svchost--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="52"/><aml:annotation w:type="Word.Comment.End" aml:id="52"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="52"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: These generally not exclude sub-processes, which may be important. Do not exclude RemoteRegistry or Schedule.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k appmodel -s StateRepository C:\Windows\system32\svchost.exe -k appmodel</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="53"/><aml:annotation w:type="Word.Comment.End" aml:id="53"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="53"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows 10--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\WINDOWS\system32\svchost.exe -k appmodel -p -s tiledatamodelsvc C:\Windows\system32\svchost.exe -k camera -s FrameServer C:\Windows\system32\svchost.exe -k dcomlaunch -s LSM C:\Windows\system32\svchost.exe -k dcomlaunch -s PlugPlay C:\Windows\system32\svchost.exe -k defragsvc</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="54"/><aml:annotation w:type="Word.Comment.End" aml:id="54"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="54"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows defragmentation--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k devicesflow -s DevicesFlowUserSvc C:\Windows\system32\svchost.exe -k imgsvc</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="55"/><aml:annotation w:type="Word.Comment.End" aml:id="55"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="55"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:The Windows Image Acquisition Service--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k localService -s EventSystem C:\Windows\system32\svchost.exe -k localService -s bthserv C:\Windows\system32\svchost.exe -k localService -s nsi C:\Windows\system32\svchost.exe -k localService -s w32Time C:\Windows\system32\svchost.exe -k localServiceAndNoImpersonation</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="56"/><aml:annotation w:type="Word.Comment.End" aml:id="56"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="56"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Network services--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k localServiceNetworkRestricted -s Dhcp</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="57"/><aml:annotation w:type="Word.Comment.End" aml:id="57"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="57"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Network services--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k localServiceNetworkRestricted -s EventLog C:\Windows\system32\svchost.exe -k localServiceNetworkRestricted -s TimeBrokerSvc C:\Windows\system32\svchost.exe -k localServiceNetworkRestricted -s WFDSConMgrSvc C:\Windows\system32\svchost.exe -k localServiceNetworkRestricted</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="58"/><aml:annotation w:type="Word.Comment.End" aml:id="58"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="58"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Network services--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k localServiceAndNoImpersonation -s SensrSvc C:\Windows\system32\svchost.exe -k localServiceNoNetwork C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -p -s WPDBusEnum C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -p -s fhsvc C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s DeviceAssociationService C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s NcbService C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s SensorService C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s TabletInputService C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s UmRdpService C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s WPDBusEnum C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted -s WdiSystemHost</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="59"/><aml:annotation w:type="Word.Comment.End" aml:id="59"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="59"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Diagnostic System Host [ http://www.blackviper.com/windows-services/diagnostic-system-host/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\WINDOWS\System32\svchost.exe -k LocalSystemNetworkRestricted -p -s WdiSystemHost</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="60"/><aml:annotation w:type="Word.Comment.End" aml:id="60"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="60"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Diagnostic System Host [ http://www.blackviper.com/windows-services/diagnostic-system-host/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="61"/><aml:annotation w:type="Word.Comment.End" aml:id="61"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="61"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\WINDOWS\system32\svchost.exe -k netsvcs -p -s wlidsvc</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="62"/><aml:annotation w:type="Word.Comment.End" aml:id="62"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="62"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Windows Live Sign-In Assistant [ https://www.howtogeek.com/howto/30348/what-are-wlidsvc.exe-and-wlidsvcm.exe-and-why-are-they-running/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k netsvcs -p -s ncaSvc</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="63"/><aml:annotation w:type="Word.Comment.End" aml:id="63"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="63"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Network Connectivity Assistant [ http://www.blackviper.com/windows-services/network-connectivity-assistant/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k netsvcs -s BDESVC</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="64"/><aml:annotation w:type="Word.Comment.End" aml:id="64"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="64"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Network: BitLocker Drive Encryption--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k netsvcs -s BITS</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="65"/><aml:annotation w:type="Word.Comment.End" aml:id="65"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="65"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Network: Background Intelligent File Transfer (BITS) --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k netsvcs -s CertPropSvc C:\Windows\system32\svchost.exe -k netsvcs -s DsmSvc C:\Windows\system32\svchost.exe -k netsvcs -s Gpsvc</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="66"/><aml:annotation w:type="Word.Comment.End" aml:id="66"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="66"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Network: Group Policy --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\System32\svchost.exe -k netsvcs -p -s NetSetupSvc</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="67"/><aml:annotation w:type="Word.Comment.End" aml:id="67"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="67"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Network Setup Service, manages the installation of network drivers --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k netsvcs -s ProfSvc</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="68"/><aml:annotation w:type="Word.Comment.End" aml:id="68"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="68"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Network services--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k netsvcs -s SENS</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="69"/><aml:annotation w:type="Word.Comment.End" aml:id="69"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="69"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Network services--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k netsvcs -s SessionEnv</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="70"/><aml:annotation w:type="Word.Comment.End" aml:id="70"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="70"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Network services--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k netsvcs -s Themes</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="71"/><aml:annotation w:type="Word.Comment.End" aml:id="71"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="71"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Network services--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k netsvcs -s Winmgmt</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="72"/><aml:annotation w:type="Word.Comment.End" aml:id="72"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="72"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Windows Management Instrumentation (WMI) --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k netsvcs</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="73"/><aml:annotation w:type="Word.Comment.End" aml:id="73"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="73"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Network services--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k networkService -p -s DoSvc C:\Windows\system32\svchost.exe -k networkService -s Dnscache</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="74"/><aml:annotation w:type="Word.Comment.End" aml:id="74"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="74"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Network: DNS caching, other uses --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k networkService -s LanmanWorkstation</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="75"/><aml:annotation w:type="Word.Comment.End" aml:id="75"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="75"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Network: "Workstation" service, used for SMB file-sharing connections and RDP--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k networkService -s NlaSvc</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="76"/><aml:annotation w:type="Word.Comment.End" aml:id="76"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="76"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Network: Network Location Awareness--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k networkService -s TermService</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="77"/><aml:annotation w:type="Word.Comment.End" aml:id="77"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="77"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Network: Terminal Services (RDP)--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k networkService</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="78"/><aml:annotation w:type="Word.Comment.End" aml:id="78"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="78"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Network services--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k networkServiceNetworkRestricted</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="79"/><aml:annotation w:type="Word.Comment.End" aml:id="79"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="79"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Network services--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k rPCSS</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="80"/><aml:annotation w:type="Word.Comment.End" aml:id="80"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="80"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows Services--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k secsvcs C:\Windows\system32\svchost.exe -k swprv</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="81"/><aml:annotation w:type="Word.Comment.End" aml:id="81"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="81"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Software Shadow Copy Provider--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k unistackSvcGroup</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="82"/><aml:annotation w:type="Word.Comment.End" aml:id="82"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="82"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows 10--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\</w:t></w:r><w:r><w:t>svchost.exe -k utcsvc</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="83"/><aml:annotation w:type="Word.Comment.End" aml:id="83"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="83"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows Services--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k wbioSvcGroup</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="84"/><aml:annotation w:type="Word.Comment.End" aml:id="84"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="84"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows Services--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k werSvcGroup</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="85"/><aml:annotation w:type="Word.Comment.End" aml:id="85"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="85"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: ErrorReporting--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\WINDOWS\System32\svchost.exe -k wsappx -p -s ClipSVC</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="86"/><aml:annotation w:type="Word.Comment.End" aml:id="86"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="86"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Apps: Client License Service--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\WINDOWS\system32\svchost.exe -k wsappx -p -s AppXSvc</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="87"/><aml:annotation w:type="Word.Comment.End" aml:id="87"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="87"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Apps: AppX Deployment Service--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k wsappx -s ClipSVC</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="88"/><aml:annotation w:type="Word.Comment.End" aml:id="88"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="88"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Apps: Client License Service--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k wsappx</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="89"/><aml:annotation w:type="Word.Comment.End" aml:id="89"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="89"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Apps [ https://www.howtogeek.com/320261/what-is-wsappx-and-why-is-it-running-on-my-pc/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k netsvcs</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="90"/><aml:annotation w:type="Word.Comment.End" aml:id="90"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="90"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Network services: Spawns Consent.exe--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\svchost.exe -k localSystemNetworkRestricted</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="91"/><aml:annotation w:type="Word.Comment.End" aml:id="91"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="91"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="92"/><aml:annotation w:type="Word.Comment.End" aml:id="92"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="92"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Microsoft:dotNet--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngen.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="93"/><aml:annotation w:type="Word.Comment.End" aml:id="93"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="93"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:DotNet--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="94"/><aml:annotation w:type="Word.Comment.End" aml:id="94"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="94"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:DotNet--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="95"/><aml:annotation w:type="Word.Comment.End" aml:id="95"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="95"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:DotNet--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\Microsoft.Net\Framework64\v3.0\WPF\PresentationFontCache.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="96"/><aml:annotation w:type="Word.Comment.End" aml:id="96"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="96"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Font cache service--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngentask.exe C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="97"/><aml:annotation w:type="Word.Comment.End" aml:id="97"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="97"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:DotNet--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\Microsoft.NET\Framework64\v4.0.30319\ngentask.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="98"/><aml:annotation w:type="Word.Comment.End" aml:id="98"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="98"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:DotNet--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="99"/><aml:annotation w:type="Word.Comment.End" aml:id="99"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="99"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:DotNet--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\Microsoft.NET\Framework\v4.0.30319\ngentask.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="100"/><aml:annotation w:type="Word.Comment.End" aml:id="100"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="100"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:DotNet: Spawns thousands of ngen.exe processes--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="101"/><aml:annotation w:type="Word.Comment.End" aml:id="101"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="101"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Microsoft:Office--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files\Microsoft Office\Office16\MSOSYNC.EXE</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="102"/><aml:annotation w:type="Word.Comment.End" aml:id="102"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="102"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Office: Background process for SharePoint/Office365 connectivity--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Microsoft Office\Office16\MSOSYNC.EXE</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="103"/><aml:annotation w:type="Word.Comment.End" aml:id="103"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="103"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Office: Background process for SharePoint/Office365 connectivity--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files\Microsoft Office\Office15\MSOSYNC.EXE</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="104"/><aml:annotation w:type="Word.Comment.End" aml:id="104"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="104"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Office: Background process for SharePoint/Office365 connectivity--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="105"/><aml:annotation w:type="Word.Comment.End" aml:id="105"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="105"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Office: Licensing service--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files\Microsoft Office\Office16\msoia.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="106"/><aml:annotation w:type="Word.Comment.End" aml:id="106"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="106"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Office: Telemetry collector--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Microsoft Office\root\Office16\officebackgroundtaskhandler.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="107"/><aml:annotation w:type="Word.Comment.End" aml:id="107"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="107"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Microsoft:Office:Click2Run--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="108"/><aml:annotation w:type="Word.Comment.End" aml:id="108"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="108"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Office: Background process--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="109"/><aml:annotation w:type="Word.Comment.End" aml:id="109"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="109"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Office: Background process--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="110"/><aml:annotation w:type="Word.Comment.End" aml:id="110"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="110"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Office: Background process--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="111"/><aml:annotation w:type="Word.Comment.End" aml:id="111"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="111"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Microsoft:Windows: Media player--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files\Windows Media Player\wmpnscfg.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="112"/><aml:annotation w:type="Word.Comment.End" aml:id="112"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="112"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Windows Media Player Network Sharing Service Configuration Application--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="113"/><aml:annotation w:type="Word.Comment.End" aml:id="113"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="113"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Google--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> "C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" --type=</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="114"/><aml:annotation w:type="Word.Comment.End" aml:id="114"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="114"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Google:Chrome: massive command-line arguments--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> "C:\Program Files\Google\Chrome\Application\chrome.exe" --type=</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="115"/><aml:annotation w:type="Word.Comment.End" aml:id="115"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="115"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Google:Chrome: massive command-line arguments--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Google\Update\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="116"/><aml:annotation w:type="Word.Comment.End" aml:id="116"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="116"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Google:Chrome:Updater: You should experiment with this line since attackers sometimes hide in this folder--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Google\Update\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="117"/><aml:annotation w:type="Word.Comment.End" aml:id="117"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="117"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Google:Chrome:Updater: You should experiment with this line since attackers sometimes hide in this folder--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="118"/><aml:annotation w:type="Word.Comment.End" aml:id="118"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="118"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Firefox--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> "C:\Program Files\Mozilla Firefox\plugin-container.exe" --channel</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="119"/><aml:annotation w:type="Word.Comment.End" aml:id="119"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="119"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Mozilla:Firefox: Large command-line arguments | Credit @Darkbat91</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> "C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe" --channel</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="120"/><aml:annotation w:type="Word.Comment.End" aml:id="120"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="120"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Mozilla:Firefox: Large command-line arguments | Credit @Darkbat91</w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="121"/><aml:annotation w:type="Word.Comment.End" aml:id="121"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="121"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Adobe--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> AcroRd32.exe" /CR</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="122"/><aml:annotation w:type="Word.Comment.End" aml:id="122"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="122"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Adobe:AcrobatReader: Uninteresting sandbox subprocess--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> AcroRd32.exe" --channel=</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="123"/><aml:annotation w:type="Word.Comment.End" aml:id="123"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="123"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Adobe:AcrobatReader: Uninteresting sandbox subprocess--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AGSService.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="124"/><aml:annotation w:type="Word.Comment.End" aml:id="124"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="124"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Adobe:Acrobat DC--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\AcroCEF\AcroCEF.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="125"/><aml:annotation w:type="Word.Comment.End" aml:id="125"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="125"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Adobe:Acrobat: Sandbox subprocess, still evaluating security exposure--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\LogTransport2.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="126"/><aml:annotation w:type="Word.Comment.End" aml:id="126"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="126"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Adobe: Telemetry [ https://forums.adobe.com/thread/1006701 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="127"/><aml:annotation w:type="Word.Comment.End" aml:id="127"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="127"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Adobe:Acrobat 2015--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Adobe\Acrobat 2015\Acrobat\AcroCEF\AcroCEF.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="128"/><aml:annotation w:type="Word.Comment.End" aml:id="128"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="128"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Adobe:Acrobat: Sandbox subprocess, still evaluating security exposure--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Adobe\Acrobat 2015\Acrobat\LogTransport2.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="129"/><aml:annotation w:type="Word.Comment.End" aml:id="129"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="129"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Adobe: Telemetry [ https://forums.adobe.com/thread/1006701 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="130"/><aml:annotation w:type="Word.Comment.End" aml:id="130"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="130"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Adobe:Acrobat Reader DC--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\AcroCEF\RdrCEF.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="131"/><aml:annotation w:type="Word.Comment.End" aml:id="131"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="131"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Adobe:AcrobatReader: Sandbox subprocess, still evaluating security exposure--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Adobe\Acrobat Reader DC\Reader\LogTransport2.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="132"/><aml:annotation w:type="Word.Comment.End" aml:id="132"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="132"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Adobe: Telemetry [ https://forums.adobe.com/thread/1006701 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="133"/><aml:annotation w:type="Word.Comment.End" aml:id="133"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="133"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Adobe:Flash--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerUpdateService.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="134"/><aml:annotation w:type="Word.Comment.End" aml:id="134"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="134"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Adobe:Flash: Properly hardened updater, not a risk--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="135"/><aml:annotation w:type="Word.Comment.End" aml:id="135"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="135"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Adobe:Updater--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="136"/><aml:annotation w:type="Word.Comment.End" aml:id="136"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="136"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Adobe:Updater: Properly hardened updater, not a risk--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="137"/><aml:annotation w:type="Word.Comment.End" aml:id="137"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="137"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Adobe:Updater: Properly hardened updater, not a risk--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="138"/><aml:annotation w:type="Word.Comment.End" aml:id="138"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="138"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Adobe:Updater: Properly hardened updater, not a risk--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="139"/><aml:annotation w:type="Word.Comment.End" aml:id="139"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="139"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Adobe:Supporting processes--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Adobe\Acrobat DC\Acrobat\AdobeCollabSync.exe C:\Program Files (x86)\Common Files\Adobe\Adobe Desktop Common\HEX\Adobe CEF Helper.exe C:\Program Files (x86)\Common Files\Adobe\AdobeGCClient\AdobeGCClient.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="140"/><aml:annotation w:type="Word.Comment.End" aml:id="140"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="140"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Adobe:Creative Cloud--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\P6\adobe_licutil.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="141"/><aml:annotation w:type="Word.Comment.End" aml:id="141"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="141"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Adobe:License utility--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\P7\adobe_licutil.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="142"/><aml:annotation w:type="Word.Comment.End" aml:id="142"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="142"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Adobe:License utility--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\P7\adobe_licutil.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="143"/><aml:annotation w:type="Word.Comment.End" aml:id="143"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="143"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Adobe:License utility--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="144"/><aml:annotation w:type="Word.Comment.End" aml:id="144"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="144"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Adobe:Creative Cloud--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe C:\Program Files (x86)\Adobe\Adobe Creative Cloud\ACC\Creative Cloud.exe C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CCXProcess\CCXProcess.exe C:\Program Files (x86)\Adobe\Adobe Creative Cloud\CoreSync\CoreSync.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="145"/><aml:annotation w:type="Word.Comment.End" aml:id="145"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="145"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Cisco--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="146"/><aml:annotation w:type="Word.Comment.End" aml:id="146"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="146"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Cisco: Calls netsh to change settings on connect--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="147"/><aml:annotation w:type="Word.Comment.End" aml:id="147"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="147"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Drivers--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="148"/><aml:annotation w:type="Word.Comment.End" aml:id="148"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="148"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: Attackers sometimes hide themselves in the folders of drivers, be careful to only exclude what is clogging events--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> "C:\Program Files\DellTPad\ApMsgFwd.exe" -s{ C:\Windows\system32\igfxsrvc.exe -Embedding C:\Program Files\DellTPad\HidMonitorSvc.exe C:\Program Files\Realtek\Audio\HDA\RtkAudioService64.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="149"/><aml:annotation w:type="Word.Comment.End" aml:id="149"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="149"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Realtek:Driver: routine actions--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="150"/><aml:annotation w:type="Word.Comment.End" aml:id="150"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="150"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Dropbox--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="151"/><aml:annotation w:type="Word.Comment.End" aml:id="151"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="151"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Dropbox:Updater: Lots of command-line arguments--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Dropbox\Update\DropboxUpdate.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="152"/><aml:annotation w:type="Word.Comment.End" aml:id="152"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="152"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Dell--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Dell\CommandUpdate\InvColPC.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="153"/><aml:annotation w:type="Word.Comment.End" aml:id="153"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="153"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Dell:CommandUpdate: Detection process--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files\Dell\SupportAssist\pcdrcui.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="154"/><aml:annotation w:type="Word.Comment.End" aml:id="154"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="154"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Dell:SupportAssist: routine actions--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files\Dell\SupportAssist\koala.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="155"/><aml:annotation w:type="Word.Comment.End" aml:id="155"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="155"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Dell:SupportAssist: routine actions--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> "-outc=C:\ProgramData\Dell\CommandUpdate\inventory.xml" "-logc=C:\ProgramData\Dell\CommandUpdate\scanerrs.xml" "-lang=en" "-enc=UTF-16"</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="156"/><aml:annotation w:type="Word.Comment.End" aml:id="156"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="156"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 2 : FILE CREATION TIME RETROACTIVELY CHANGED IN THE FILESYSTEM [FileCreateTime]--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="157"/><aml:annotation w:type="Word.Comment.End" aml:id="157"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="157"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: [ https://attack.mitre.org/wiki/Technique/T1099 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="158"/><aml:annotation w:type="Word.Comment.End" aml:id="158"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="158"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DATA: UtcTime, ProcessGuid, ProcessId, Image, TargetFilename, CreationUtcTime, PreviousCreationUtcTime--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Users</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="159"/><aml:annotation w:type="Word.Comment.End" aml:id="159"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="159"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Look for timestomping in user area--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> OneDrive.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="160"/><aml:annotation w:type="Word.Comment.End" aml:id="160"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="160"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--OneDrive constantly changes file times--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\backgroundTaskHost.exe setup</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="161"/><aml:annotation w:type="Word.Comment.End" aml:id="161"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="161"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Ignore setups--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> install</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="162"/><aml:annotation w:type="Word.Comment.End" aml:id="162"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="162"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Ignore setups--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Update\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="163"/><aml:annotation w:type="Word.Comment.End" aml:id="163"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="163"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Ignore setups--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> redist.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="164"/><aml:annotation w:type="Word.Comment.End" aml:id="164"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="164"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Ignore setups--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> msiexec.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="165"/><aml:annotation w:type="Word.Comment.End" aml:id="165"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="165"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Ignore setups--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> TrustedInstaller.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="166"/><aml:annotation w:type="Word.Comment.End" aml:id="166"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="166"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Ignore setups--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="167"/><aml:annotation w:type="Word.Comment.End" aml:id="167"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="167"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 3 : NETWORK CONNECTION INITIATED [NetworkConnect]--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="168"/><aml:annotation w:type="Word.Comment.End" aml:id="168"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="168"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: By default this configuration takes a very conservative approach to network logging, limited to only extremely high-signal events.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="169"/><aml:annotation w:type="Word.Comment.End" aml:id="169"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="169"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: [ https://attack.mitre.org/wiki/Command_and_Control ] [ https://attack.mitre.org/wiki/Exfiltration ] [ https://attack.mitre.org/wiki/Lateral_Movement ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="170"/><aml:annotation w:type="Word.Comment.End" aml:id="170"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="170"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--TECHNICAL: For the DestinationHostname, Sysmon uses the GetNameInfo API, which will often not have any information, and may just be a CDN. This is NOT reliable for filtering.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="171"/><aml:annotation w:type="Word.Comment.End" aml:id="171"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="171"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--TECHNICAL: For the DestinationPortName, Sysmon uses the GetNameInfo API for the friendly name of ports you see in logs.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="172"/><aml:annotation w:type="Word.Comment.End" aml:id="172"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="172"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--TECHNICAL: These exe do not initiate their connections, and thus includes do not work in this section: BITSADMIN NLTEST--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="173"/><aml:annotation w:type="Word.Comment.End" aml:id="173"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="173"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>https://www.first.org/resources/papers/conf2017/APT-Log-Analysis-Tracking-Attack-Tools-by-Audit-Policy-and-Sysmon.pdf</w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="174"/><aml:annotation w:type="Word.Comment.End" aml:id="174"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="174"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DATA: UtcTime, ProcessGuid, ProcessId, Image, User, Protocol, Initiated, SourceIsIpv6, SourceIp, SourceHostname, SourcePort, SourcePortName, DestinationIsIpV6, DestinationIp, DestinationHostname, DestinationPort, DestinationPortName--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="175"/><aml:annotation w:type="Word.Comment.End" aml:id="175"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="175"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Suspicious sources for network-connecting binaries--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Users</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="176"/><aml:annotation w:type="Word.Comment.End" aml:id="176"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="176"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Tools downloaded by users can use other processes for networking, but this is a very valuable indicator.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\ProgramData</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="177"/><aml:annotation w:type="Word.Comment.End" aml:id="177"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="177"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Normally, network communications should be sourced from "Program Files" not from ProgramData, something to look at--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\Temp</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="178"/><aml:annotation w:type="Word.Comment.End" aml:id="178"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="178"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Suspicious anything would communicate from the system-level temp directory--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="179"/><aml:annotation w:type="Word.Comment.End" aml:id="179"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="179"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Suspicious Windows tools--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> at.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="180"/><aml:annotation w:type="Word.Comment.End" aml:id="180"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="180"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remote task scheduling, removed in Win10 | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> certutil.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="181"/><aml:annotation w:type="Word.Comment.End" aml:id="181"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="181"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Certificate tool can contact outbound | Credit @ion-storm @FVT [ https://twitter.com/FVT/status/834433734602530817 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> cmd.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="182"/><aml:annotation w:type="Word.Comment.End" aml:id="182"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="182"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remote command prompt--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> cmstp.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="183"/><aml:annotation w:type="Word.Comment.End" aml:id="183"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="183"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Connection manager profiles can launch executables from WebDAV [ https://twitter.com/NickTyrer/status/958450014111633408 ] | Credit @NickTyrer @Oddvarmoe @KyleHanslovan @subTee --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> cscript.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="184"/><aml:annotation w:type="Word.Comment.End" aml:id="184"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="184"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:WindowsScriptingHost: | Credit @Cyb3rOps [ https://gist.github.com/Neo23x0/a4b4af9481e01e749409 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> driverquery.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="185"/><aml:annotation w:type="Word.Comment.End" aml:id="185"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="185"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remote recognisance of system configuration, oudated/vulnerable drivers --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> dsquery.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="186"/><aml:annotation w:type="Word.Comment.End" aml:id="186"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="186"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft: Query Active Directory --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> hh.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="187"/><aml:annotation w:type="Word.Comment.End" aml:id="187"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="187"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: HTML Help Executable, opens CHM files --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> infDefaultInstall.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="188"/><aml:annotation w:type="Word.Comment.End" aml:id="188"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="188"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft: [ https://github.com/huntresslabs/evading-autoruns ] | Credit @KyleHanslovan --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> java.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="189"/><aml:annotation w:type="Word.Comment.End" aml:id="189"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="189"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Java: Monitor usage of vulnerable application and init from JAR files | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> javaw.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="190"/><aml:annotation w:type="Word.Comment.End" aml:id="190"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="190"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Java: Monitor usage of vulnerable application and init from JAR files --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> javaws.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="191"/><aml:annotation w:type="Word.Comment.End" aml:id="191"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="191"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Java: Monitor usage of vulnerable application and init from JAR files --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> mmc.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="192"/><aml:annotation w:type="Word.Comment.End" aml:id="192"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="192"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> msbuild.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="193"/><aml:annotation w:type="Word.Comment.End" aml:id="193"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="193"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: [ https://www.hybrid-analysis.com/sample/a314f6106633fba4b70f9d6ddbee452e8f8f44a72117749c21243dc93c7ed3ac?environmentId=100 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> mshta.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="194"/><aml:annotation w:type="Word.Comment.End" aml:id="194"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="194"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: HTML application executes scripts without IE protections | Credit @ion-storm [ https://en.wikipedia.org/wiki/HTML_Application ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> msiexec.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="195"/><aml:annotation w:type="Word.Comment.End" aml:id="195"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="195"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Can install from http:// paths | Credit @vector-sec --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> nbtstat.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="196"/><aml:annotation w:type="Word.Comment.End" aml:id="196"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="196"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: NetBIOS statistics, attackers use to enumerate local network --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> net.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="197"/><aml:annotation w:type="Word.Comment.End" aml:id="197"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="197"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Note - May not detect anything, net.exe is a front-end to lower APIs | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> net1.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="198"/><aml:annotation w:type="Word.Comment.End" aml:id="198"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="198"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Launched by "net.exe", but it may not detect connections either --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> notepad.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="199"/><aml:annotation w:type="Word.Comment.End" aml:id="199"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="199"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: [ https://secrary.com/ReversingMalware/CoinMiner/ ] [ https://blog.cobaltstrike.com/2013/08/08/why-is-notepad-exe-connecting-to-the-internet/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> nslookup.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="200"/><aml:annotation w:type="Word.Comment.End" aml:id="200"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="200"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Retrieve data over DNS --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> powershell.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="201"/><aml:annotation w:type="Word.Comment.End" aml:id="201"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="201"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: PowerShell interface--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> qprocess.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="202"/><aml:annotation w:type="Word.Comment.End" aml:id="202"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="202"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: [ https://www.first.org/resources/papers/conf2017/APT-Log-Analysis-Tracking-Attack-Tools-by-Audit-Policy-and-Sysmon.pdf ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> qwinsta.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="203"/><aml:annotation w:type="Word.Comment.End" aml:id="203"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="203"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Query remote sessions | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> qwinsta.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="204"/><aml:annotation w:type="Word.Comment.End" aml:id="204"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="204"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remotely query login sessions on a server or workstation | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> reg.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="205"/><aml:annotation w:type="Word.Comment.End" aml:id="205"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="205"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remote Registry editing ability | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> regsvcs.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="206"/><aml:annotation w:type="Word.Comment.End" aml:id="206"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="206"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: [ https://www.hybrid-analysis.com/sample/3f94d7080e6c5b8f59eeecc3d44f7e817b31562caeba21d02ad705a0bfc63d67?environmentId=100 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> regsvr32.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="207"/><aml:annotation w:type="Word.Comment.End" aml:id="207"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="207"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: [ https://subt0x10.blogspot.com/2016/04/bypass-application-whitelisting-script.html ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> rundll32.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="208"/><aml:annotation w:type="Word.Comment.End" aml:id="208"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="208"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: [ https://blog.cobaltstrike.com/2016/07/22/why-is-rundll32-exe-connecting-to-the-internet/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> rwinsta.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="209"/><aml:annotation w:type="Word.Comment.End" aml:id="209"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="209"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Disconnect remote sessions | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> sc.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="210"/><aml:annotation w:type="Word.Comment.End" aml:id="210"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="210"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remotely change Windows service settings | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> schtasks.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="211"/><aml:annotation w:type="Word.Comment.End" aml:id="211"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="211"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Command-line interface to local and remote tasks --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> taskkill.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="212"/><aml:annotation w:type="Word.Comment.End" aml:id="212"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="212"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Kill processes, has remote ability --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> tasklist.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="213"/><aml:annotation w:type="Word.Comment.End" aml:id="213"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="213"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: List processes, has remote ability --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> wmic.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="214"/><aml:annotation w:type="Word.Comment.End" aml:id="214"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="214"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:WindowsManagementInstrumentation: Credit @Cyb3rOps [ https://gist.github.com/Neo23x0/a4b4af9481e01e749409 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> wscript.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="215"/><aml:annotation w:type="Word.Comment.End" aml:id="215"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="215"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:WindowsScriptingHost: | Credit @arekfurt --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="216"/><aml:annotation w:type="Word.Comment.End" aml:id="216"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="216"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Relevant 3rd Party Tools--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> nc.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="217"/><aml:annotation w:type="Word.Comment.End" aml:id="217"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="217"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Nmap's modern version of netcat [ https://nmap.org/ncat/guide/index.html#ncat-overview ] [ https://securityblog.gr/1517/create-backdoor-in-windows-with-ncat/ ]</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> ncat.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="218"/><aml:annotation w:type="Word.Comment.End" aml:id="218"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="218"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Nmap's modern version of netcat [ https://nmap.org/ncat/guide/index.html#ncat-overview ] [ https://securityblog.gr/1517/create-backdoor-in-windows-with-ncat/ ]</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> psexec.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="219"/><aml:annotation w:type="Word.Comment.End" aml:id="219"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="219"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Sysinternals:PsExec client side | Credit @Cyb3rOps --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> psexesvc.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="220"/><aml:annotation w:type="Word.Comment.End" aml:id="220"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="220"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Sysinternals:PsExec server side | Credit @Cyb3rOps --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> tor.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="221"/><aml:annotation w:type="Word.Comment.End" aml:id="221"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="221"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Tor [ https://www.hybrid-analysis.com/sample/800bf028a23440134fc834efc5c1e02cc70f05b2e800bbc285d7c92a4b126b1c?environmentId=100 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> vnc.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="222"/><aml:annotation w:type="Word.Comment.End" aml:id="222"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="222"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>VNC client | Credit @Cyb3rOps</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> vncservice.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="223"/><aml:annotation w:type="Word.Comment.End" aml:id="223"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="223"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>VNC server | Credit @Cyb3rOps</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> vncviewer.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="224"/><aml:annotation w:type="Word.Comment.End" aml:id="224"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="224"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>VNC client | Credit @Cyb3rOps</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> winexesvc.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="225"/><aml:annotation w:type="Word.Comment.End" aml:id="225"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="225"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Winexe service executable | Credit @Cyb3rOps</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> nmap.exe psinfo.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="226"/><aml:annotation w:type="Word.Comment.End" aml:id="226"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="226"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Ports: Suspicious--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> 22</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="227"/><aml:annotation w:type="Word.Comment.End" aml:id="227"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="227"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SSH protocol, monitor admin connections--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> 23</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="228"/><aml:annotation w:type="Word.Comment.End" aml:id="228"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="228"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Telnet protocol, monitor admin connections, insecure--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> 25</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="229"/><aml:annotation w:type="Word.Comment.End" aml:id="229"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="229"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SMTP mail protocol port, insecure, used by threats--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t>142</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="230"/><aml:annotation w:type="Word.Comment.End" aml:id="230"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="230"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--IMAP mail protocol port, insecure, used by threats--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> 3389</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="231"/><aml:annotation w:type="Word.Comment.End" aml:id="231"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="231"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:RDP: Monitor admin connections--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> 5800</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="232"/><aml:annotation w:type="Word.Comment.End" aml:id="232"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="232"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--VNC protocol: Monitor admin connections, often insecure--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> 5900</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="233"/><aml:annotation w:type="Word.Comment.End" aml:id="233"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="233"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--VNC protocol Monitor admin connections, often insecure--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="234"/><aml:annotation w:type="Word.Comment.End" aml:id="234"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="234"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Ports: Proxy--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> 1080</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="235"/><aml:annotation w:type="Word.Comment.End" aml:id="235"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="235"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Socks proxy port | Credit @ion-storm--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> 3128</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="236"/><aml:annotation w:type="Word.Comment.End" aml:id="236"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="236"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Socks proxy port | Credit @ion-storm--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> 8080</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="237"/><aml:annotation w:type="Word.Comment.End" aml:id="237"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="237"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Socks proxy port | Credit @ion-storm--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="238"/><aml:annotation w:type="Word.Comment.End" aml:id="238"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="238"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Ports: Tor--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> 1723</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="239"/><aml:annotation w:type="Word.Comment.End" aml:id="239"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="239"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Tor protocol [ https://attack.mitre.org/wiki/Technique/T1090 ] | Credit @ion-storm--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> 4500</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="240"/><aml:annotation w:type="Word.Comment.End" aml:id="240"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="240"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Tor protocol, also triggers on IPsec [ https://attack.mitre.org/wiki/Technique/T1090 ] | Credit @ion-storm--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> 9001</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="241"/><aml:annotation w:type="Word.Comment.End" aml:id="241"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="241"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Tor protocol [ http://www.computerworlduk.com/tutorial/security/tor-enterprise-2016-blocking-malware-darknet-use-rogue-nodes-3633907/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> 9030</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="242"/><aml:annotation w:type="Word.Comment.End" aml:id="242"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="242"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Tor protocol [ http://www.computerworlduk.com/tutorial/security/tor-enterprise-2016-blocking-malware-darknet-use-rogue-nodes-3633907/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="243"/><aml:annotation w:type="Word.Comment.End" aml:id="243"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="243"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: Unfortunately, these exclusions are very broad and easily abused, but it's a limitation of Sysmon rules that they can't be more specific as they're in user folders--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Spotify.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="244"/><aml:annotation w:type="Word.Comment.End" aml:id="244"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="244"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Spotify--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> AppData\Roaming\Dropbox\bin\Dropbox.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="245"/><aml:annotation w:type="Word.Comment.End" aml:id="245"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="245"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Dropbox--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> g2ax_comm_expert.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="246"/><aml:annotation w:type="Word.Comment.End" aml:id="246"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="246"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--GoToMeeting--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> g2mcomm.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="247"/><aml:annotation w:type="Word.Comment.End" aml:id="247"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="247"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--GoToMeeting--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="248"/><aml:annotation w:type="Word.Comment.End" aml:id="248"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="248"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Microsoft--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> OneDrive.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="249"/><aml:annotation w:type="Word.Comment.End" aml:id="249"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="249"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:OneDrive--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> OneDriveStandaloneUpdater.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="250"/><aml:annotation w:type="Word.Comment.End" aml:id="250"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="250"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:OneDrive--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> AppData\Local\Microsoft\Teams\current\Teams.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="251"/><aml:annotation w:type="Word.Comment.End" aml:id="251"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="251"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft: Teams--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> microsoft.com</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="252"/><aml:annotation w:type="Word.Comment.End" aml:id="252"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="252"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Update delivery--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> microsoft.com.akadns.net</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="253"/><aml:annotation w:type="Word.Comment.End" aml:id="253"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="253"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Update delivery--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> microsoft.com.nsatc.net</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="254"/><aml:annotation w:type="Word.Comment.End" aml:id="254"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="254"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Update delivery--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="255"/><aml:annotation w:type="Word.Comment.End" aml:id="255"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="255"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Section: Loopback Addresses--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> 127.0.0.1 fe80:0:0:0</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="256"/><aml:annotation w:type="Word.Comment.End" aml:id="256"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="256"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 4 : RESERVED FOR SYSMON STATUS MESSAGES--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="257"/><aml:annotation w:type="Word.Comment.End" aml:id="257"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="257"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DATA: UtcTime, State, Version, SchemaVersion--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="258"/><aml:annotation w:type="Word.Comment.End" aml:id="258"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="258"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Cannot be filtered.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="259"/><aml:annotation w:type="Word.Comment.End" aml:id="259"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="259"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 5 : PROCESS ENDED [ProcessTerminate]--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="260"/><aml:annotation w:type="Word.Comment.End" aml:id="260"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="260"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: Useful data in building infection timelines.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="261"/><aml:annotation w:type="Word.Comment.End" aml:id="261"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="261"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DATA: UtcTime, ProcessGuid, ProcessId, Image--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Users</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="262"/><aml:annotation w:type="Word.Comment.End" aml:id="262"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="262"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Process terminations by user binaries--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="263"/><aml:annotation w:type="Word.Comment.End" aml:id="263"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="263"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 6 : DRIVER LOADED INTO KERNEL [DriverLoad]--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="264"/><aml:annotation w:type="Word.Comment.End" aml:id="264"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="264"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: Because drivers with bugs can be used to escalate to kernel permissions, be extremely selective</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>about what you exclude from monitoring. Low event volume, little incentive to exclude.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>[ https://attack.mitre.org/wiki/Technique/T1014 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="265"/><aml:annotation w:type="Word.Comment.End" aml:id="265"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="265"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--TECHNICAL: Sysmon will check the signing certificate revocation status of any driver you don't exclude.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="266"/><aml:annotation w:type="Word.Comment.End" aml:id="266"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="266"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DATA: UtcTime, ImageLoaded, Hashes, Signed, Signature, SignatureStatus--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> microsoft</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="267"/><aml:annotation w:type="Word.Comment.End" aml:id="267"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="267"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Exclude signed Microsoft drivers--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> windows</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="268"/><aml:annotation w:type="Word.Comment.End" aml:id="268"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="268"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Exclude signed Microsoft drivers--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Intel</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="269"/><aml:annotation w:type="Word.Comment.End" aml:id="269"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="269"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Exclude signed Intel drivers--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="270"/><aml:annotation w:type="Word.Comment.End" aml:id="270"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="270"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 7 : DLL (IMAGE) LOADED BY PROCESS [ImageLoad]--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="271"/><aml:annotation w:type="Word.Comment.End" aml:id="271"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="271"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: Can cause high system load, disabled by default.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="272"/><aml:annotation w:type="Word.Comment.End" aml:id="272"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="272"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: [ https://attack.mitre.org/wiki/Technique/T1073 ] [ https://attack.mitre.org/wiki/Technique/T1038 ] [ https://attack.mitre.org/wiki/Technique/T1034 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="273"/><aml:annotation w:type="Word.Comment.End" aml:id="273"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="273"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DATA: UtcTime, ProcessGuid, ProcessId, Image, ImageLoaded, Hashes, Signed, Signature, SignatureStatus--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="274"/><aml:annotation w:type="Word.Comment.End" aml:id="274"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="274"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 8 : REMOTE THREAD CREATED [CreateRemoteThread]--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="275"/><aml:annotation w:type="Word.Comment.End" aml:id="275"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="275"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: Monitor for processes injecting code into other processes. Often used by malware to cloak their actions. Also when Firefox loads Flash.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>[ https://attack.mitre.org/wiki/Technique/T1055 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="276"/><aml:annotation w:type="Word.Comment.End" aml:id="276"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="276"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DATA: UtcTime, SourceProcessGuid, SourceProcessId, SourceImage, TargetProcessId, TargetImage, NewThreadId, StartAddress, StartModule, StartFunction--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="277"/><aml:annotation w:type="Word.Comment.End" aml:id="277"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="277"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: Exclude mostly-safe sources and log anything else.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\wbem\WmiPrvSE.exe C:\Windows\system32\svchost.exe C:\Windows\system32\wininit.exe C:\Windows\system32\csrss.exe C:\Windows\system32\services.exe C:\Windows\system32\winlogon.exe C:\Windows\system32\audiodg.exe C:\Windows\system32\kernel32.dll Google\Chrome\Application\chrome.exe C:\Program Files (x86)\Webroot\WRSA.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="278"/><aml:annotation w:type="Word.Comment.End" aml:id="278"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="278"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 9 : RAW DISK ACCESS [RawAccessRead]--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="279"/><aml:annotation w:type="Word.Comment.End" aml:id="279"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="279"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--EVENT 9: "RawAccessRead detected"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="280"/><aml:annotation w:type="Word.Comment.End" aml:id="280"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="280"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: Can cause high system load, disabled by default.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="281"/><aml:annotation w:type="Word.Comment.End" aml:id="281"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="281"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: Monitor for raw sector-level access to the disk, often used to bypass access control lists or access locked files.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Disabled by default since including even one entry here activates this component. Reward/performance/rule maintenance decision.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Encourage you to experiment with this feature yourself. [ https://attack.mitre.org/wiki/Technique/T1067 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="282"/><aml:annotation w:type="Word.Comment.End" aml:id="282"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="282"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: You will likely want to set this to a full capture on domain controllers, where no process should be doing raw reads.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="283"/><aml:annotation w:type="Word.Comment.End" aml:id="283"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="283"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DATA: UtcTime, ProcessGuid, ProcessId, Image, Device--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="284"/><aml:annotation w:type="Word.Comment.End" aml:id="284"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="284"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 10 : INTER-PROCESS ACCESS [ProcessAccess]--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="285"/><aml:annotation w:type="Word.Comment.End" aml:id="285"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="285"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--EVENT 10: "Process accessed"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="286"/><aml:annotation w:type="Word.Comment.End" aml:id="286"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="286"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: Can cause high system load, disabled by default.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="287"/><aml:annotation w:type="Word.Comment.End" aml:id="287"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="287"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: Monitor for processes accessing other process' memory.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="288"/><aml:annotation w:type="Word.Comment.End" aml:id="288"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="288"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DATA: UtcTime, SourceProcessGuid, SourceProcessId, SourceThreadId, SourceImage, TargetProcessGuid, TargetProcessId, TargetImage, GrantedAccess, CallTrace--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="289"/><aml:annotation w:type="Word.Comment.End" aml:id="289"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="289"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 11 : FILE CREATED [FileCreate]--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="290"/><aml:annotation w:type="Word.Comment.End" aml:id="290"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="290"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--EVENT 11: "File created"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="291"/><aml:annotation w:type="Word.Comment.End" aml:id="291"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="291"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--NOTE: Other filesystem "minifilters" can make it appear to Sysmon that some files are being written twice. This is not a Sysmon issue, per Mark Russinovich.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="292"/><aml:annotation w:type="Word.Comment.End" aml:id="292"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="292"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--NOTE: You may not see files detected by antivirus. Other filesystem minifilters, like antivirus, can act before Sysmon receives the alert a file was written.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="293"/><aml:annotation w:type="Word.Comment.End" aml:id="293"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="293"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DATA: UtcTime, ProcessGuid, ProcessId, Image, TargetFilename, CreationUtcTime--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \Start Menu</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="294"/><aml:annotation w:type="Word.Comment.End" aml:id="294"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="294"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Startup links and shortcut modification [ https://attack.mitre.org/wiki/Technique/T1023 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \Startup\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="295"/><aml:annotation w:type="Word.Comment.End" aml:id="295"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="295"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Office: Changes to user's auto-launched files and shortcuts--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \Content.Outlook\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="296"/><aml:annotation w:type="Word.Comment.End" aml:id="296"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="296"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Outlook: attachments--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \Downloads\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="297"/><aml:annotation w:type="Word.Comment.End" aml:id="297"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="297"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Downloaded files. Does not include "Run" files in IE--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .application</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="298"/><aml:annotation w:type="Word.Comment.End" aml:id="298"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="298"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:ClickOnce: [ https://blog.netspi.com/all-you-need-is-one-a-clickonce-love-story/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .appref-ms</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="299"/><aml:annotation w:type="Word.Comment.End" aml:id="299"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="299"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:ClickOnce application | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .bat</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="300"/><aml:annotation w:type="Word.Comment.End" aml:id="300"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="300"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Batch scripting--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .chm .cmd</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="301"/><aml:annotation w:type="Word.Comment.End" aml:id="301"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="301"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Batch scripting: Batch scripts can also use the .cmd extension | Credit: @mmazanec --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .cmdline</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="302"/><aml:annotation w:type="Word.Comment.End" aml:id="302"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="302"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:dotNet: Executed by cvtres.exe--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .dmp</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="303"/><aml:annotation w:type="Word.Comment.End" aml:id="303"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="303"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Process dumps [ (fr) http://blog.gentilkiwi.com/securite/mimikatz/minidump ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .docm</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="304"/><aml:annotation w:type="Word.Comment.End" aml:id="304"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="304"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Office:Word: Macro--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="305"/><aml:annotation w:type="Word.Comment.End" aml:id="305"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="305"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Executable--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .jar</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="306"/><aml:annotation w:type="Word.Comment.End" aml:id="306"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="306"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Java applets--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .jnlp</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="307"/><aml:annotation w:type="Word.Comment.End" aml:id="307"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="307"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Java applets--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .jse</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="308"/><aml:annotation w:type="Word.Comment.End" aml:id="308"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="308"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Scripting [ Example: https://www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/Mal~Phires-C/detailed-analysis.aspx ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .hta</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="309"/><aml:annotation w:type="Word.Comment.End" aml:id="309"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="309"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Scripting--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .pptm</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="310"/><aml:annotation w:type="Word.Comment.End" aml:id="310"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="310"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Office:Word: Macro--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .ps1</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="311"/><aml:annotation w:type="Word.Comment.End" aml:id="311"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="311"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--PowerShell [ More information: http://www.hexacorn.com/blog/2014/08/27/beyond-good-ol-run-key-part-16/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .sys</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="312"/><aml:annotation w:type="Word.Comment.End" aml:id="312"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="312"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--System driver files--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .scr</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="313"/><aml:annotation w:type="Word.Comment.End" aml:id="313"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="313"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--System driver files--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .vbe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="314"/><aml:annotation w:type="Word.Comment.End" aml:id="314"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="314"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--VisualBasicScripting--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .vbs</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="315"/><aml:annotation w:type="Word.Comment.End" aml:id="315"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="315"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--VisualBasicScripting--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .xlsm</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="316"/><aml:annotation w:type="Word.Comment.End" aml:id="316"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="316"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Office:Word: Macro--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> proj</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="317"/><aml:annotation w:type="Word.Comment.End" aml:id="317"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="317"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:MSBuild:Script: More information: https://twitter.com/subTee/status/885919612969394177--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .sln</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="318"/><aml:annotation w:type="Word.Comment.End" aml:id="318"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="318"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:MSBuild:Script: More information: https://twitter.com/subTee/status/885919612969394177--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Users\Default</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="319"/><aml:annotation w:type="Word.Comment.End" aml:id="319"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="319"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Changes to default user profile--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\Drivers</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="320"/><aml:annotation w:type="Word.Comment.End" aml:id="320"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="320"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft: Drivers dropped here--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\SysWOW64\Drivers</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="321"/><aml:annotation w:type="Word.Comment.End" aml:id="321"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="321"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft: Drivers dropped here--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\GroupPolicy\Machine\Scripts</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="322"/><aml:annotation w:type="Word.Comment.End" aml:id="322"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="322"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Group policy [ More information: http://www.hexacorn.com/blog/2017/01/07/beyond-good-ol-run-key-part-52/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\GroupPolicy\User\Scripts</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="323"/><aml:annotation w:type="Word.Comment.End" aml:id="323"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="323"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Group policy [ More information: http://www.hexacorn.com/blog/2017/01/07/beyond-good-ol-run-key-part-52/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\Wbem</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="324"/><aml:annotation w:type="Word.Comment.End" aml:id="324"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="324"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:WMI: [ More information: http://2014.hackitoergosum.org/slides/day1_WMI_Shell_Andrei_Dumitrescu.pdf ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\SysWOW64\Wbem</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="325"/><aml:annotation w:type="Word.Comment.End" aml:id="325"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="325"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:WMI: [ More information: http://2014.hackitoergosum.org/slides/day1_WMI_Shell_Andrei_Dumitrescu.pdf ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\WindowsPowerShell</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="326"/><aml:annotation w:type="Word.Comment.End" aml:id="326"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="326"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Powershell: Look for modifications for persistence [ https://www.malwarearchaeology.com/cheat-sheets ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\SysWOW64\WindowsPowerShell</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="327"/><aml:annotation w:type="Word.Comment.End" aml:id="327"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="327"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Powershell: Look for modifications for persistence [ https://www.malwarearchaeology.com/cheat-sheets ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\Tasks\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="328"/><aml:annotation w:type="Word.Comment.End" aml:id="328"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="328"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:ScheduledTasks [ https://attack.mitre.org/wiki/Technique/T1053 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\Tasks</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="329"/><aml:annotation w:type="Word.Comment.End" aml:id="329"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="329"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:ScheduledTasks [ https://attack.mitre.org/wiki/Technique/T1053 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="330"/><aml:annotation w:type="Word.Comment.End" aml:id="330"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="330"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Windows application compatibility--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\AppPatch\Custom</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="331"/><aml:annotation w:type="Word.Comment.End" aml:id="331"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="331"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Application compatibility shims [ https://www.fireeye.com/blog/threat-research/2017/05/fin7-shim-databases-persistence.html ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> VirtualStore</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="332"/><aml:annotation w:type="Word.Comment.End" aml:id="332"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="332"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: UAC virtualization [ https://blogs.msdn.microsoft.com/oldnewthing/20150902-00/?p=91681 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="333"/><aml:annotation w:type="Word.Comment.End" aml:id="333"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="333"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Exploitable file names--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .xls</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="334"/><aml:annotation w:type="Word.Comment.End" aml:id="334"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="334"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Legacy Office files are often used for attacks--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .ppt</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="335"/><aml:annotation w:type="Word.Comment.End" aml:id="335"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="335"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Legacy Office files are often used for attacks--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .rft</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="336"/><aml:annotation w:type="Word.Comment.End" aml:id="336"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="336"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--RTF files often 0day malware vectors when opened by Office--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="337"/><aml:annotation w:type="Word.Comment.End" aml:id="337"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="337"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Microsoft--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\EMET 5.5\EMET_Service.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="338"/><aml:annotation w:type="Word.Comment.End" aml:id="338"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="338"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:EMET: Writes to C:\Windows\AppPatch\--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="339"/><aml:annotation w:type="Word.Comment.End" aml:id="339"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="339"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Microsoft:Office--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\System32\Tasks\OfficeSoftwareProtectionPlatform\SvcRestartTask</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="340"/><aml:annotation w:type="Word.Comment.End" aml:id="340"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="340"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Microsoft:Office:Click2Run--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeC2RClient.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="341"/><aml:annotation w:type="Word.Comment.End" aml:id="341"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="341"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!-- Microsoft:Office Click2Run--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="342"/><aml:annotation w:type="Word.Comment.End" aml:id="342"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="342"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Microsoft:Windows--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\smss.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="343"/><aml:annotation w:type="Word.Comment.End" aml:id="343"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="343"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!-- Microsoft:Windows: Session Manager SubSystem: Creates swapfile.sys,pagefile.sys,hiberfile.sys--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\CompatTelRunner.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="344"/><aml:annotation w:type="Word.Comment.End" aml:id="344"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="344"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!-- Microsoft:Windows: Windows 10 app, creates tons of cache files--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \\?\C:\Windows\system32\wbem\WMIADAP.EXE</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="345"/><aml:annotation w:type="Word.Comment.End" aml:id="345"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="345"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!-- Microsoft:Windows: WMI Performance updates--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\mobsync.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="346"/><aml:annotation w:type="Word.Comment.End" aml:id="346"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="346"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Network file syncing--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\DriverStore\Temp\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="347"/><aml:annotation w:type="Word.Comment.End" aml:id="347"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="347"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!-- Microsoft:Windows: Temp files by DrvInst.exe--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\wbem\Performance\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="348"/><aml:annotation w:type="Word.Comment.End" aml:id="348"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="348"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!-- Microsoft:Windows: Created in wbem by WMIADAP.exe--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> WRITABLE.TST</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="349"/><aml:annotation w:type="Word.Comment.End" aml:id="349"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="349"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!-- Microsoft:Windows: Created in wbem by svchost--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\Installer\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="350"/><aml:annotation w:type="Word.Comment.End" aml:id="350"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="350"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Installer: Ignore MSI installer files caching--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="351"/><aml:annotation w:type="Word.Comment.End" aml:id="351"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="351"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Microsoft:Windows:Updates--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\$WINDOWS.~BT\Sources\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="352"/><aml:annotation w:type="Word.Comment.End" aml:id="352"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="352"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!-- Microsoft:Windows: Feature updates containing lots of .exe and .sys--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\winsxs\amd64_microsoft-windows</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="353"/><aml:annotation w:type="Word.Comment.End" aml:id="353"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="353"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!-- Microsoft:Windows: Windows update--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="354"/><aml:annotation w:type="Word.Comment.End" aml:id="354"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="354"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Dell--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Dell\CommandUpdate\InvColPC.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="355"/><aml:annotation w:type="Word.Comment.End" aml:id="355"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="355"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Intel--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\igfxCUIService.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="356"/><aml:annotation w:type="Word.Comment.End" aml:id="356"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="356"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Intel: Drops bat and other files in \Windows in normal operation--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="357"/><aml:annotation w:type="Word.Comment.End" aml:id="357"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="357"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Adobe--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\System32\Tasks\Adobe Acrobat Update Task C:\Windows\System32\Tasks\Adobe Flash Player Updater</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="358"/><aml:annotation w:type="Word.Comment.End" aml:id="358"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="358"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 12 & 13 & 14 : REGISTRY MODIFICATION [RegistryEvent]--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="359"/><aml:annotation w:type="Word.Comment.End" aml:id="359"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="359"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--EVENT 12: "Registry object added or deleted"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="360"/><aml:annotation w:type="Word.Comment.End" aml:id="360"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="360"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--EVENT 13: "Registry value set--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="361"/><aml:annotation w:type="Word.Comment.End" aml:id="361"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="361"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--EVENT 14: "Registry objected renamed"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="362"/><aml:annotation w:type="Word.Comment.End" aml:id="362"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="362"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--NOTE: Windows writes hundreds or thousands of registry keys a minute, so just because you're not changing things, doesn't mean these rules aren't being run.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="363"/><aml:annotation w:type="Word.Comment.End" aml:id="363"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="363"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--NOTE: You do not have to spend a lot of time worrying about performance, CPUs are fast, but it's something to consider. Every rule and condition type has a small cost.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="364"/><aml:annotation w:type="Word.Comment.End" aml:id="364"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="364"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--NOTE: "contains" works by finding the first letter, then matching the second, etc, so the first letters should be as low-occurrence as possible.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="365"/><aml:annotation w:type="Word.Comment.End" aml:id="365"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="365"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--NOTE: [ https://attack.mitre.org/wiki/Technique/T1112 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="366"/><aml:annotation w:type="Word.Comment.End" aml:id="366"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="366"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--TECHNICAL: You cannot filter on the "Details" attribute, due to performance issues when very large keys are written, and variety of data formats--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="367"/><aml:annotation w:type="Word.Comment.End" aml:id="367"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="367"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--TECHNICAL: Possible prefixes are HKLM, HKCR, and HKU--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="368"/><aml:annotation w:type="Word.Comment.End" aml:id="368"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="368"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--CRITICAL: Schema version 3.30 and higher change HKLM\="\REGISTRY\MACHINE\" and HKU\="\REGISTRY\USER\" and HKCR\="\REGISTRY\MACHINE\SOFTWARE\Classes\" and CurrentControlSet="ControlSet001"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="369"/><aml:annotation w:type="Word.Comment.End" aml:id="369"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="369"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--CRITICAL: Due to a bug, Sysmon versions BEFORE 7.01 may not properly log with the new prefix style for registry keys that was originally introduced in schema version 3.30--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="370"/><aml:annotation w:type="Word.Comment.End" aml:id="370"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="370"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--NOTE: Because Sysmon runs as a service, it has no filtering ability for, or concept of, HKCU or HKEY_CURRENT_USER. Use "contains" or "end with" to get around this limitation--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="371"/><aml:annotation w:type="Word.Comment.End" aml:id="371"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="371"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!-- ! CRITICAL NOTE !:</w:t></w:r><w:r><w:t>It may appear this section is MISSING important entries, but SOME RULES MONITOR MANY KEYS, so look VERY CAREFULLY to see if something is already covered.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="372"/><aml:annotation w:type="Word.Comment.End" aml:id="372"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="372"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DATA: EventType, UtcTime, ProcessGuid, ProcessId, Image, TargetObject, Details (can't filter on), NewName (can't filter on)--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="373"/><aml:annotation w:type="Word.Comment.End" aml:id="373"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="373"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Autorun or Startups--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="374"/><aml:annotation w:type="Word.Comment.End" aml:id="374"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="374"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--ADDITIONAL REFERENCE: [ http://www.ghacks.net/2016/06/04/windows-automatic-startup-locations/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="375"/><aml:annotation w:type="Word.Comment.End" aml:id="375"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="375"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--ADDITIONAL REFERENCE: [ https://view.officeapps.live.com/op/view.aspx?src=https://arsenalrecon.com/downloads/resources/Registry_Keys_Related_to_Autorun.ods ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="376"/><aml:annotation w:type="Word.Comment.End" aml:id="376"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="376"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--ADDITIONAL REFERENCE: [ http://www.silentrunners.org/launchpoints.html ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="377"/><aml:annotation w:type="Word.Comment.End" aml:id="377"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="377"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--ADDITIONAL REFERENCE: [ https://www.microsoftpressstore.com/articles/article.aspx?p=2762082&seqNum=2 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> CurrentVersion\Run</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="378"/><aml:annotation w:type="Word.Comment.End" aml:id="378"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="378"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Wildcard for Run keys, including RunOnce, RunOnceEx, RunServices, RunServicesOnce [Also covers terminal server] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Policies\Explorer\Run</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="379"/><aml:annotation w:type="Word.Comment.End" aml:id="379"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="379"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Alternate runs keys | Credit @ion-storm--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Group Policy\Scripts</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="380"/><aml:annotation w:type="Word.Comment.End" aml:id="380"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="380"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Group policy scripts--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Windows\System\Scripts</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="381"/><aml:annotation w:type="Word.Comment.End" aml:id="381"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="381"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Wildcard for Logon, Loggoff, Shutdown--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> CurrentVersion\Windows\Load</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="382"/><aml:annotation w:type="Word.Comment.End" aml:id="382"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="382"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: [ https://msdn.microsoft.com/en-us/library/jj874148.aspx ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> CurrentVersion\Windows\Run</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="383"/><aml:annotation w:type="Word.Comment.End" aml:id="383"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="383"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: [ https://msdn.microsoft.com/en-us/library/jj874148.aspx ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> CurrentVersion\Winlogon\Shell</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="384"/><aml:annotation w:type="Word.Comment.End" aml:id="384"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="384"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: [ https://msdn.microsoft.com/en-us/library/ms838576(v=winembedded.5).aspx ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> CurrentVersion\Winlogon\System</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="385"/><aml:annotation w:type="Word.Comment.End" aml:id="385"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="385"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows [ https://www.exterminate-it.com/malpedia/regvals/zlob-dns-changer/118 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="386"/><aml:annotation w:type="Word.Comment.End" aml:id="386"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="386"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Autorun location [ https://attack.mitre.org/wiki/Technique/T1004 ] [ https://www.cylance.com/windows-registry-persistence-part-2-the-run-keys-and-search-order ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="387"/><aml:annotation w:type="Word.Comment.End" aml:id="387"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="387"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: [ https://technet.microsoft.com/en-us/library/ee851671.aspx ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="388"/><aml:annotation w:type="Word.Comment.End" aml:id="388"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="388"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Autorun location [ https://www.cylance.com/windows-registry-persistence-part-2-the-run-keys-and-search-order ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\WOW6432Node\Microsoft\Windows NT\CurrentVersion\Drivers32</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="389"/><aml:annotation w:type="Word.Comment.End" aml:id="389"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="389"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Legacy driver loading | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\BootExecute</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="390"/><aml:annotation w:type="Word.Comment.End" aml:id="390"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="390"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Autorun | Credit @ion-storm | [ https://www.cylance.com/windows-registry-persistence-part-2-the-run-keys-and-search-order ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="391"/><aml:annotation w:type="Word.Comment.End" aml:id="391"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="391"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Automatic program crash debug program [ https://www.symantec.com/security_response/writeup.jsp?docid=2007-050712-5453-99&tabid=2 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> UserInitMprLogonScript</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="392"/><aml:annotation w:type="Word.Comment.End" aml:id="392"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="392"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Legacy logon script environment variable [ http://www.hexacorn.com/blog/2014/11/14/beyond-good-ol-run-key-part-18/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="393"/><aml:annotation w:type="Word.Comment.End" aml:id="393"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="393"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Services--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \ServiceDll</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="394"/><aml:annotation w:type="Word.Comment.End" aml:id="394"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="394"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Points to a service's DLL [ https://blog.cylance.com/windows-registry-persistence-part-1-introduction-attack-phases-and-windows-services ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \ServiceManifest</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="395"/><aml:annotation w:type="Word.Comment.End" aml:id="395"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="395"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Manifest pointing to service's DLL [ https://www.geoffchappell.com/studies/windows/win32/services/svchost/index.htm ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \ImagePath</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="396"/><aml:annotation w:type="Word.Comment.End" aml:id="396"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="396"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Points to a service's EXE [ https://attack.mitre.org/wiki/Technique/T1050 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \Start</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="397"/><aml:annotation w:type="Word.Comment.End" aml:id="397"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="397"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Services start mode changes (Disabled, Automatically, Manual)--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="398"/><aml:annotation w:type="Word.Comment.End" aml:id="398"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="398"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--CLSID launch commands and Default File Association changes--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> shell\open\command\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="399"/><aml:annotation w:type="Word.Comment.End" aml:id="399"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="399"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Sensitive sub-key under file associations and CLSID that map to launch command--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> shell\open\ddeexec\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="400"/><aml:annotation w:type="Word.Comment.End" aml:id="400"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="400"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Sensitive sub-key under file associations and CLSID that map to launch command--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> shell\install\command\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="401"/><aml:annotation w:type="Word.Comment.End" aml:id="401"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="401"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Sensitive sub-key under file associations and CLSID that map to launch command--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Explorer\FileExts\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="402"/><aml:annotation w:type="Word.Comment.End" aml:id="402"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="402"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Changes to file extension mapping--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> {86C86720-42A0-1069-A2E8-08002B30309D}</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="403"/><aml:annotation w:type="Word.Comment.End" aml:id="403"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="403"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Tooltip handler--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> exefile</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="404"/><aml:annotation w:type="Word.Comment.End" aml:id="404"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="404"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows Executable handler, to ensure any changes not generally monitored, for less-common shell command types like "runas"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="405"/><aml:annotation w:type="Word.Comment.End" aml:id="405"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="405"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Windows COM--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \InprocServer32\(Default)</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="406"/><aml:annotation w:type="Word.Comment.End" aml:id="406"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="406"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:COM Object Hijacking [ https://blog.gdatasoftware.com/2014/10/23941-com-object-hijacking-the-discreet-way-of-persistence ] | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="407"/><aml:annotation w:type="Word.Comment.End" aml:id="407"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="407"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Windows shell visual modifications--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \Hidden</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="408"/><aml:annotation w:type="Word.Comment.End" aml:id="408"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="408"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Explorer: Some types of malware try to hide their hidden system files from the user, good signal event --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \ShowSuperHidden</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="409"/><aml:annotation w:type="Word.Comment.End" aml:id="409"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="409"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Explorer: Some types of malware try to hide their hidden system files from the user, good signal event [ Example: https://www.symantec.com/security_response/writeup.jsp?docid=2007-061811-4341-99&tabid=2 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \HideFileExt</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="410"/><aml:annotation w:type="Word.Comment.End" aml:id="410"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="410"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Explorer: Some malware hides file extensions to make diagnosis/disinfection more daunting to novice users --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="411"/><aml:annotation w:type="Word.Comment.End" aml:id="411"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="411"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Windows shell hijack and modifications--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Classes\*\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="412"/><aml:annotation w:type="Word.Comment.End" aml:id="412"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="412"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Explorer: [ http://www.silentrunners.org/launchpoints.html ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Classes\AllFilesystemObjects\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="413"/><aml:annotation w:type="Word.Comment.End" aml:id="413"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="413"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Explorer: [ http://www.silentrunners.org/launchpoints.html ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Classes\Directory\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="414"/><aml:annotation w:type="Word.Comment.End" aml:id="414"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="414"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Explorer: [ https://stackoverflow.com/questions/1323663/windows-shell-context-menu-option ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Classes\Drive\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="415"/><aml:annotation w:type="Word.Comment.End" aml:id="415"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="415"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Explorer: [ https://stackoverflow.com/questions/1323663/windows-shell-context-menu-option ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Classes\Folder\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="416"/><aml:annotation w:type="Word.Comment.End" aml:id="416"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="416"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Explorer: ContextMenuHandlers, DragDropHandlers, CopyHookHandlers, [ https://stackoverflow.com/questions/1323663/windows-shell-context-menu-option ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> ContextMenuHandlers\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="417"/><aml:annotation w:type="Word.Comment.End" aml:id="417"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="417"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: [ http://oalabs.openanalysis.net/2015/06/04/malware-persistence-hkey_current_user-shell-extension-handlers/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> CurrentVersion\Shell</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="418"/><aml:annotation w:type="Word.Comment.End" aml:id="418"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="418"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Shell Folders, ShellExecuteHooks, ShellIconOverloadIdentifers, ShellServiceObjects, ShellServiceObjectDelayLoad [ http://oalabs.openanalysis.net/2015/06/04/malware-persistence-hkey_current_user-shell-extension-handlers/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellExecuteHooks</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="419"/><aml:annotation w:type="Word.Comment.End" aml:id="419"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="419"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: ShellExecuteHooks--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\ShellServiceObjectDelayLoad</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="420"/><aml:annotation w:type="Word.Comment.End" aml:id="420"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="420"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: ShellExecuteHooks--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\ShellIconOverlayIdentifiers</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="421"/><aml:annotation w:type="Word.Comment.End" aml:id="421"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="421"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: ShellExecuteHooks--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="422"/><aml:annotation w:type="Word.Comment.End" aml:id="422"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="422"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--AppPaths hijacking--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="423"/><aml:annotation w:type="Word.Comment.End" aml:id="423"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="423"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Credit to @Hexacorn [ http://www.hexacorn.com/blog/2013/01/19/beyond-good-ol-run-key-part-3/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="424"/><aml:annotation w:type="Word.Comment.End" aml:id="424"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="424"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Terminal service boobytrap--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp\InitialProgram</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="425"/><aml:annotation w:type="Word.Comment.End" aml:id="425"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="425"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:RDP: Note other Terminal Server run keys are handled by another wildcard already--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="426"/><aml:annotation w:type="Word.Comment.End" aml:id="426"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="426"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Group Policy integrity--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="427"/><aml:annotation w:type="Word.Comment.End" aml:id="427"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="427"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Group Policy internally uses a plug-in architecture that nothing should be modifying--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="428"/><aml:annotation w:type="Word.Comment.End" aml:id="428"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="428"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Winsock and Winsock2--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Services\WinSock\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="429"/><aml:annotation w:type="Word.Comment.End" aml:id="429"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="429"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Wildcard, includes Winsock and Winsock2--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \ProxyServer</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="430"/><aml:annotation w:type="Word.Comment.End" aml:id="430"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="430"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: System and user proxy server--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="431"/><aml:annotation w:type="Word.Comment.End" aml:id="431"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="431"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Credential providers--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\Credential Provider</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="432"/><aml:annotation w:type="Word.Comment.End" aml:id="432"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="432"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Wildcard, includes Credential Providers and Credential Provider Filters--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Control\Lsa\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="433"/><aml:annotation w:type="Word.Comment.End" aml:id="433"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="433"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>[ https://attack.mitre.org/wiki/Technique/T1131 ] [ https://attack.mitre.org/wiki/Technique/T1101 ]</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="434"/><aml:annotation w:type="Word.Comment.End" aml:id="434"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="434"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Changes to WDigest-UseLogonCredential for password scraping [ https://www.trustedsec.com/april-2015/dumping-wdigest-creds-with-meterpreter-mimikatzkiwi-in-windows-8-1/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Netsh</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="435"/><aml:annotation w:type="Word.Comment.End" aml:id="435"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="435"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Netsh helper DLL [ https://attack.mitre.org/wiki/Technique/T1128 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="436"/><aml:annotation w:type="Word.Comment.End" aml:id="436"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="436"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Networking--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Control\NetworkProvider\Order\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="437"/><aml:annotation w:type="Word.Comment.End" aml:id="437"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="437"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Order of network providers that are checked to connect to destination [ https://www.malwarearchaeology.com/cheat-sheets ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="438"/><aml:annotation w:type="Word.Comment.End" aml:id="438"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="438"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \EnableFirewall</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="439"/><aml:annotation w:type="Word.Comment.End" aml:id="439"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="439"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Monitor for firewall disablement, all firewall profiles [ https://attack.mitre.org/wiki/Technique/T1089 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \DoNotAllowExceptions</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="440"/><aml:annotation w:type="Word.Comment.End" aml:id="440"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="440"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Monitor for firewall disablement, all firewall profiles [ https://attack.mitre.org/wiki/Technique/T1089 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="441"/><aml:annotation w:type="Word.Comment.End" aml:id="441"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="441"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Windows Firewall authorized applications for all networks| Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="442"/><aml:annotation w:type="Word.Comment.End" aml:id="442"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="442"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Windows Firewall authorized applications for domain networks --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="443"/><aml:annotation w:type="Word.Comment.End" aml:id="443"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="443"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DLLs that get injected into every process at launch--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="444"/><aml:annotation w:type="Word.Comment.End" aml:id="444"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="444"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Feature disabled by default [ https://attack.mitre.org/wiki/Technique/T1103 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\Appinit_Dlls\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="445"/><aml:annotation w:type="Word.Comment.End" aml:id="445"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="445"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Feature disabled by default [ https://attack.mitre.org/wiki/Technique/T1103 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="446"/><aml:annotation w:type="Word.Comment.End" aml:id="446"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="446"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Credit to @Hexacorn [ http://www.hexacorn.com/blog/2013/01/19/beyond-good-ol-run-key-part-3/ ] [ https://blog.comodo.com/malware/trojware-win32-trojanspy-volisk-a/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="447"/><aml:annotation w:type="Word.Comment.End" aml:id="447"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="447"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Office--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Microsoft\Office\Outlook\Addins\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="448"/><aml:annotation w:type="Word.Comment.End" aml:id="448"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="448"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Office: Outlook add-ins, access to sensitive data and often cause issues--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Office Test\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="449"/><aml:annotation w:type="Word.Comment.End" aml:id="449"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="449"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Microsoft:Office: Persistence method [ http://www.hexacorn.com/blog/2014/04/16/beyond-good-ol-run-key-part-10/ ] | Credit @Hexacorn</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Security\Trusted Documents\TrustRecords</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="450"/><aml:annotation w:type="Word.Comment.End" aml:id="450"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="450"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Office: Monitor when "Enable editing" or "Enable macros" is used | Credit @OutflankNL | [ https://outflank.nl/blog/2018/01/16/hunting-for-evil-detect-macros-being-executed/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="451"/><aml:annotation w:type="Word.Comment.End" aml:id="451"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="451"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--IE--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Internet Explorer\Toolbar\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="452"/><aml:annotation w:type="Word.Comment.End" aml:id="452"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="452"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:InternetExplorer: Machine and user [ Example: https://www.exterminate-it.com/malpedia/remove-mywebsearch ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Internet Explorer\Extensions\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="453"/><aml:annotation w:type="Word.Comment.End" aml:id="453"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="453"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:InternetExplorer: Machine and user [ Example: https://www.exterminate-it.com/malpedia/remove-mywebsearch ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Browser Helper Objects\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="454"/><aml:annotation w:type="Word.Comment.End" aml:id="454"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="454"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:InternetExplorer: Machine and user [ https://msdn.microsoft.com/en-us/library/bb250436(v=vs.85).aspx ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \DisableSecuritySettingsCheck \3\1206</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="455"/><aml:annotation w:type="Word.Comment.End" aml:id="455"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="455"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:InternetExplorer: Malware sometimes assures scripting is on in Internet Zone [ https://support.microsoft.com/en-us/help/182569/internet-explorer-security-zones-registry-entries-for-advanced-users ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \3\2500</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="456"/><aml:annotation w:type="Word.Comment.End" aml:id="456"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="456"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:InternetExplorer: Malware sometimes disables Protected Mode in Internet Zone [ https://blog.avast.com/2013/08/12/your-documents-are-corrupted-from-image-to-an-information-stealing-trojan/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \3\1809</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="457"/><aml:annotation w:type="Word.Comment.End" aml:id="457"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="457"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:InternetExplorer: Malware sometimes disables Pop-up Blocker in Internet Zone [ https://support.microsoft.com/en-us/help/182569/internet-explorer-security-zones-registry-entries-for-advanced-users ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="458"/><aml:annotation w:type="Word.Comment.End" aml:id="458"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="458"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Magic registry keys--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> {AB8902B4-09CA-4bb6-B78D-A8F59079A8D5}\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="459"/><aml:annotation w:type="Word.Comment.End" aml:id="459"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="459"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Thumbnail cache autostart [ http://blog.trendmicro.com/trendlabs-security-intelligence/poweliks-levels-up-with-new-autostart-mechanism/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="460"/><aml:annotation w:type="Word.Comment.End" aml:id="460"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="460"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Install /Infection artifacts--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \UrlUpdateInfo</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="461"/><aml:annotation w:type="Word.Comment.End" aml:id="461"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="461"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:ClickOnce: Source URL is stored in this value [ https://subt0x10.blogspot.com/2016/12/mimikatz-delivery-via-clickonce-with.html ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \InstallSource</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="462"/><aml:annotation w:type="Word.Comment.End" aml:id="462"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="462"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Source folder for certain program and component installations--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="463"/><aml:annotation w:type="Word.Comment.End" aml:id="463"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="463"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Windows UAC tampering--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="464"/><aml:annotation w:type="Word.Comment.End" aml:id="464"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="464"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Detect: UAC Tampering | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\LocalAccountTokenFilterPolicy</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="465"/><aml:annotation w:type="Word.Comment.End" aml:id="465"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="465"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Detect: UAC Tampering | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="466"/><aml:annotation w:type="Word.Comment.End" aml:id="466"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="466"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft Security Center tampering | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Security Center\AllAlertsDisabled</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="467"/><aml:annotation w:type="Word.Comment.End" aml:id="467"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="467"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>[ https://attack.mitre.org/wiki/Technique/T1089 ]</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Security Center\AntiVirusOverride</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="468"/><aml:annotation w:type="Word.Comment.End" aml:id="468"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="468"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>[ https://attack.mitre.org/wiki/Technique/T1089 ]</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\</w:t></w:r><w:r><w:t>SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="469"/><aml:annotation w:type="Word.Comment.End" aml:id="469"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="469"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>[ https://attack.mitre.org/wiki/Technique/T1089 ]</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Security Center\DisableMonitoring</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="470"/><aml:annotation w:type="Word.Comment.End" aml:id="470"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="470"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>[ https://attack.mitre.org/wiki/Technique/T1089 ]</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="471"/><aml:annotation w:type="Word.Comment.End" aml:id="471"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="471"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>[ https://attack.mitre.org/wiki/Technique/T1089 ]</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Security Center\FirewallOverride</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="472"/><aml:annotation w:type="Word.Comment.End" aml:id="472"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="472"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>[ https://attack.mitre.org/wiki/Technique/T1089 ]</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Security Center\UacDisableNotify</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="473"/><aml:annotation w:type="Word.Comment.End" aml:id="473"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="473"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>[ https://attack.mitre.org/wiki/Technique/T1089 ]</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="474"/><aml:annotation w:type="Word.Comment.End" aml:id="474"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="474"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>[ https://attack.mitre.org/wiki/Technique/T1089 ]</w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\HideSCAHealth</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="475"/><aml:annotation w:type="Word.Comment.End" aml:id="475"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="475"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Security Center: Malware sometimes disables [ https://blog.avast.com/2013/08/12/your-documents-are-corrupted-from-image-to-an-information-stealing-trojan/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="476"/><aml:annotation w:type="Word.Comment.End" aml:id="476"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="476"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Windows application compatibility--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Custom</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="477"/><aml:annotation w:type="Word.Comment.End" aml:id="477"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="477"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: AppCompat [ https://www.fireeye.com/blog/threat-research/2017/05/fin7-shim-databases-persistence.html ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\InstalledSDB</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="478"/><aml:annotation w:type="Word.Comment.End" aml:id="478"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="478"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: AppCompat [ https://attack.mitre.org/wiki/Technique/T1138 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> VirtualStore</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="479"/><aml:annotation w:type="Word.Comment.End" aml:id="479"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="479"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Registry virtualization [ https://msdn.microsoft.com/en-us/library/windows/desktop/aa965884(v=vs.85).aspx ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="480"/><aml:annotation w:type="Word.Comment.End" aml:id="480"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="480"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Windows internals integrity monitoring--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="481"/><aml:annotation w:type="Word.Comment.End" aml:id="481"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="481"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Malware likes changing IFEO, like adding Debugger to disable antivirus EXE--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="482"/><aml:annotation w:type="Word.Comment.End" aml:id="482"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="482"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Event log system integrity and ACLs--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Control\Safeboot\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="483"/><aml:annotation w:type="Word.Comment.End" aml:id="483"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="483"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Services approved to load in safe mode--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Control\Winlogon\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="484"/><aml:annotation w:type="Word.Comment.End" aml:id="484"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="484"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Providers notified by WinLogon--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \FriendlyName</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="485"/><aml:annotation w:type="Word.Comment.End" aml:id="485"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="485"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: New devices connected and remembered--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\InProgress\(Default)</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="486"/><aml:annotation w:type="Word.Comment.End" aml:id="486"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="486"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: See when WindowsInstaller is engaged, useful for timeline matching with other events--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Tracing\RASAPI32</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="487"/><aml:annotation w:type="Word.Comment.End" aml:id="487"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="487"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Malware sometimes disables tracing to obfuscate tracks--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="488"/><aml:annotation w:type="Word.Comment.End" aml:id="488"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="488"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: Remove low-information noise. Often these hide a procress recreating an empty key and do not hide the values created subsequently.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="489"/><aml:annotation w:type="Word.Comment.End" aml:id="489"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="489"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: Microsoft binaries--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Office\root\integration\integrator.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="490"/><aml:annotation w:type="Word.Comment.End" aml:id="490"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="490"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Office: C2R client--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\system32\backgroundTaskHost.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="491"/><aml:annotation w:type="Word.Comment.End" aml:id="491"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="491"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Changes association registry keys--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files\Common Files\Microsoft Shared\ClickToRun\OfficeClickToRun.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="492"/><aml:annotation w:type="Word.Comment.End" aml:id="492"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="492"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Office: C2R client--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files\Windows Defender\MsMpEng.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="493"/><aml:annotation w:type="Word.Comment.End" aml:id="493"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="493"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Defender--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="494"/><aml:annotation w:type="Word.Comment.End" aml:id="494"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="494"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Cortana--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\EMET 5.5\EMET_Service.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="495"/><aml:annotation w:type="Word.Comment.End" aml:id="495"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="495"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:EMET: Routinely refreshes EMET configuration keys from Group Policy--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="496"/><aml:annotation w:type="Word.Comment.End" aml:id="496"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="496"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Misc--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Toolbar\WebBrowser</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="497"/><aml:annotation w:type="Word.Comment.End" aml:id="497"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="497"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:IE: Extraneous activity--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Toolbar\WebBrowser\ITBar7Height</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="498"/><aml:annotation w:type="Word.Comment.End" aml:id="498"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="498"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:IE: Extraneous activity--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Toolbar\WebBrowser\ITBar7Layout</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="499"/><aml:annotation w:type="Word.Comment.End" aml:id="499"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="499"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:IE: Extraneous activity--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Toolbar\ShellBrowser\ITBar7Layout</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="500"/><aml:annotation w:type="Word.Comment.End" aml:id="500"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="500"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Explorer: Extraneous activity--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Internet Explorer\Toolbar\Locked</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="501"/><aml:annotation w:type="Word.Comment.End" aml:id="501"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="501"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Explorer: Extraneous activity--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Toolbar\WebBrowser\{47833539-D0C5-4125-9FA8-0819E2EAAC93}</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="502"/><aml:annotation w:type="Word.Comment.End" aml:id="502"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="502"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Explorer: Extraneous activity--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> ShellBrowser</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="503"/><aml:annotation w:type="Word.Comment.End" aml:id="503"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="503"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:InternetExplorer: Noise--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \CurrentVersion\Run</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="504"/><aml:annotation w:type="Word.Comment.End" aml:id="504"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="504"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from the "\Windows\CurrentVersion\Run" wildcard--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \CurrentVersion\RunOnce</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="505"/><aml:annotation w:type="Word.Comment.End" aml:id="505"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="505"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from the "\Windows\CurrentVersion\Run" wildcard--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \CurrentVersion\App Paths</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="506"/><aml:annotation w:type="Word.Comment.End" aml:id="506"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="506"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from the "\Windows\CurrentVersion\App Paths" wildcard--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \CurrentVersion\Image File Execution Options</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="507"/><aml:annotation w:type="Word.Comment.End" aml:id="507"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="507"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from the "\Windows\CurrentVersion\Image File Execution Options" wildcard--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \CurrentVersion\Shell Extensions\Cached</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="508"/><aml:annotation w:type="Word.Comment.End" aml:id="508"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="508"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from the "\CurrentVersion\Shell Extensions\Cached" wildcard--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \CurrentVersion\Shell Extensions\Approved</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="509"/><aml:annotation w:type="Word.Comment.End" aml:id="509"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="509"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from the "\CurrentVersion\Shell Extensions\Approved" wildcard--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> }\PreviousPolicyAreas</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="510"/><aml:annotation w:type="Word.Comment.End" aml:id="510"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="510"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from \Winlogon\GPExtensions by svchost.exe--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \Control\WMI\Autologger\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="511"/><aml:annotation w:type="Word.Comment.End" aml:id="511"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="511"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from monitoring "\Start"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Services\UsoSvc\Start</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="512"/><aml:annotation w:type="Word.Comment.End" aml:id="512"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="512"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from monitoring "\Start"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \Lsa\OfflineJoin\CurrentValue</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="513"/><aml:annotation w:type="Word.Comment.End" aml:id="513"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="513"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Sensitive value during domain join--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \Components\TrustedInstaller\Events</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="514"/><aml:annotation w:type="Word.Comment.End" aml:id="514"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="514"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise monitoring Winlogon--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \Components\TrustedInstaller</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="515"/><aml:annotation w:type="Word.Comment.End" aml:id="515"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="515"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise monitoring Winlogon--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \Components\Wlansvc</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="516"/><aml:annotation w:type="Word.Comment.End" aml:id="516"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="516"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise monitoring Winlogon--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \Components\Wlansvc\Events</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="517"/><aml:annotation w:type="Word.Comment.End" aml:id="517"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="517"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise monitoring Winlogon--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="518"/><aml:annotation w:type="Word.Comment.End" aml:id="518"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="518"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise monitoring installations run as system--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \Directory\shellex</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="519"/><aml:annotation w:type="Word.Comment.End" aml:id="519"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="519"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise monitoring Classes--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \Directory\shellex\DragDropHandlers</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="520"/><aml:annotation w:type="Word.Comment.End" aml:id="520"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="520"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise monitoring Classes--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \Drive\shellex</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="521"/><aml:annotation w:type="Word.Comment.End" aml:id="521"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="521"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise monitoring Classes--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \Drive\shellex\DragDropHandlers</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="522"/><aml:annotation w:type="Word.Comment.End" aml:id="522"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="522"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise monitoring Classes--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> _Classes\AppX</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="523"/><aml:annotation w:type="Word.Comment.End" aml:id="523"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="523"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise monitoring "Shell\open\command"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="524"/><aml:annotation w:type="Word.Comment.End" aml:id="524"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="524"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Win8+--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WINEVT\Publishers\</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="525"/><aml:annotation w:type="Word.Comment.End" aml:id="525"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="525"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: SvcHost Noise--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Windows\SystemApps\Microsoft.Windows.Cortana_cw5n1h2txyewy\SearchUI.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="526"/><aml:annotation w:type="Word.Comment.End" aml:id="526"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="526"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from Windows 10 Cortana | Credit @ion-storm--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="527"/><aml:annotation w:type="Word.Comment.End" aml:id="527"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="527"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Win10--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files (x86)\Cisco\Cisco AnyConnect Secure Mobility Client\vpnagent.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="528"/><aml:annotation w:type="Word.Comment.End" aml:id="528"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="528"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Bootup Control noise--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Audit</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="529"/><aml:annotation w:type="Word.Comment.End" aml:id="529"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="529"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:lsass.exe: Boot noise--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="530"/><aml:annotation w:type="Word.Comment.End" aml:id="530"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="530"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Win8+--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Audit\AuditPolicy</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="531"/><aml:annotation w:type="Word.Comment.End" aml:id="531"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="531"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:lsass.exe: Boot noise--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="532"/><aml:annotation w:type="Word.Comment.End" aml:id="532"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="532"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Win8+--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Audit\PerUserAuditing\System</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="533"/><aml:annotation w:type="Word.Comment.End" aml:id="533"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="533"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:lsass.exe: Boot noise--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="534"/><aml:annotation w:type="Word.Comment.End" aml:id="534"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="534"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Win8+--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Control\Lsa\LsaPid</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="535"/><aml:annotation w:type="Word.Comment.End" aml:id="535"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="535"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:lsass.exe: Boot noise--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Control\Lsa\SspiCache</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="536"/><aml:annotation w:type="Word.Comment.End" aml:id="536"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="536"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:lsass.exe: Boot noise--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="537"/><aml:annotation w:type="Word.Comment.End" aml:id="537"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="537"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Win8+--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SYSTEM\CurrentControlSet\Control\Lsa\Kerberos\Domains</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="538"/><aml:annotation w:type="Word.Comment.End" aml:id="538"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="538"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:lsass.exe: Boot noise--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="539"/><aml:annotation w:type="Word.Comment.End" aml:id="539"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="539"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Win8+--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Audit</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="540"/><aml:annotation w:type="Word.Comment.End" aml:id="540"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="540"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:lsass.exe: Boot noise--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="541"/><aml:annotation w:type="Word.Comment.End" aml:id="541"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="541"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Win8+--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="542"/><aml:annotation w:type="Word.Comment.End" aml:id="542"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="542"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Services startup settings noise, some low-risk services routinely change it and this can be ignored--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \services\bits\Start</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="543"/><aml:annotation w:type="Word.Comment.End" aml:id="543"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="543"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from monitoring "\Start"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \services\clr_optimization_v2.0.50727_32\Start</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="544"/><aml:annotation w:type="Word.Comment.End" aml:id="544"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="544"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:dotNet: Windows 7--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \services\clr_optimization_v2.0.50727_64\Start</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="545"/><aml:annotation w:type="Word.Comment.End" aml:id="545"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="545"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:dotNet: Windows 7--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \services\clr_optimization_v4.0.30319_32\Start</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="546"/><aml:annotation w:type="Word.Comment.End" aml:id="546"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="546"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:dotNet: Windows 10--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \services\clr_optimization_v4.0.30319_64\Start</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="547"/><aml:annotation w:type="Word.Comment.End" aml:id="547"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="547"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:dotNet: Windows 10--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \services\deviceAssociationService\Start</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="548"/><aml:annotation w:type="Word.Comment.End" aml:id="548"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="548"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from monitoring "\Start"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \services\fhsvc\Start</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="549"/><aml:annotation w:type="Word.Comment.End" aml:id="549"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="549"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: File History Service--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \services\nal\Start</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="550"/><aml:annotation w:type="Word.Comment.End" aml:id="550"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="550"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Intel: Network adapter diagnostic driver--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \services\trustedInstaller\Start</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="551"/><aml:annotation w:type="Word.Comment.End" aml:id="551"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="551"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from monitoring "\Start"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \services\tunnel\Start</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="552"/><aml:annotation w:type="Word.Comment.End" aml:id="552"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="552"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from monitoring "\Start"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \services\usoSvc\Start</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="553"/><aml:annotation w:type="Word.Comment.End" aml:id="553"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="553"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from monitoring "\Start"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="554"/><aml:annotation w:type="Word.Comment.End" aml:id="554"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="554"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--FileExts noise filtering--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \OpenWithProgids</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="555"/><aml:annotation w:type="Word.Comment.End" aml:id="555"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="555"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from monitoring "FileExts"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \OpenWithList</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="556"/><aml:annotation w:type="Word.Comment.End" aml:id="556"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="556"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from monitoring "FileExts"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \UserChoice</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="557"/><aml:annotation w:type="Word.Comment.End" aml:id="557"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="557"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from monitoring "FileExts"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \UserChoice\ProgId</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="558"/><aml:annotation w:type="Word.Comment.End" aml:id="558"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="558"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from monitoring "FileExts"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="559"/><aml:annotation w:type="Word.Comment.End" aml:id="559"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="559"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Win8+--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \UserChoice\Hash</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="560"/><aml:annotation w:type="Word.Comment.End" aml:id="560"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="560"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from monitoring "FileExts"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="561"/><aml:annotation w:type="Word.Comment.End" aml:id="561"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="561"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Win8+--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \OpenWithList\MRUList</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="562"/><aml:annotation w:type="Word.Comment.End" aml:id="562"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="562"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise from monitoring "FileExts"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> } 0xFFFF</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="563"/><aml:annotation w:type="Word.Comment.End" aml:id="563"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="563"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Remove noise generated by explorer.exe on monitored ShellCached binary keys--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="564"/><aml:annotation w:type="Word.Comment.End" aml:id="564"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="564"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Win8+--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="565"/><aml:annotation w:type="Word.Comment.End" aml:id="565"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="565"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Group Policy noise--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKLM\System\CurrentControlSet\Control\Lsa\Audit\SpecialGroups</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="566"/><aml:annotation w:type="Word.Comment.End" aml:id="566"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="566"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Routinely set through Group Policy, not especially important to log--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="567"/><aml:annotation w:type="Word.Comment.End" aml:id="567"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="567"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Group Policy: Noise below the actual key while building--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="568"/><aml:annotation w:type="Word.Comment.End" aml:id="568"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="568"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Group Policy: Noise below the actual key while building--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\0</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="569"/><aml:annotation w:type="Word.Comment.End" aml:id="569"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="569"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Group Policy: Noise below the actual key while building--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\0\PSScriptOrder</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="570"/><aml:annotation w:type="Word.Comment.End" aml:id="570"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="570"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Group Policy: Noise below the actual key while building--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\0\SOM-ID</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="571"/><aml:annotation w:type="Word.Comment.End" aml:id="571"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="571"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Group Policy: Noise below the actual key while building--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\0\GPO-ID</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="572"/><aml:annotation w:type="Word.Comment.End" aml:id="572"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="572"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Group Policy: Noise below the actual key while building--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\0\0\IsPowershell</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="573"/><aml:annotation w:type="Word.Comment.End" aml:id="573"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="573"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Group Policy: Noise below the actual key while building--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Startup\0\0\ExecTime</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="574"/><aml:annotation w:type="Word.Comment.End" aml:id="574"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="574"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Group Policy: Noise below the actual key while building--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="575"/><aml:annotation w:type="Word.Comment.End" aml:id="575"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="575"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Group Policy: Noise below the actual key while building--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown\0</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="576"/><aml:annotation w:type="Word.Comment.End" aml:id="576"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="576"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Group Policy: Noise below the actual key while building--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown\0\PSScriptOrder</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="577"/><aml:annotation w:type="Word.Comment.End" aml:id="577"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="577"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Group Policy: Noise below the actual key while building--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown\0\SOM-ID</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="578"/><aml:annotation w:type="Word.Comment.End" aml:id="578"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="578"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Group Policy: Noise below the actual key while building--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown\0\GPO-ID</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="579"/><aml:annotation w:type="Word.Comment.End" aml:id="579"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="579"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Group Policy: Noise below the actual key while building--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown\0\0\IsPowershell</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="580"/><aml:annotation w:type="Word.Comment.End" aml:id="580"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="580"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Group Policy: Noise below the actual key while building--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> SOFTWARE\Microsoft\Windows\CurrentVersion\Group Policy\Scripts\Shutdown\0\0\ExecTime</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="581"/><aml:annotation w:type="Word.Comment.End" aml:id="581"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="581"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows:Group Policy: Noise below the actual key while building--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> \safer\codeidentifiers\0\HASHES\{</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="582"/><aml:annotation w:type="Word.Comment.End" aml:id="582"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="582"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Microsoft:Windows: Software Restriction Policies. Can be used to disable security tools, but very noisy to monitor if you use it--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="583"/><aml:annotation w:type="Word.Comment.End" aml:id="583"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="583"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SECTION: 3rd party--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="584"/><aml:annotation w:type="Word.Comment.End" aml:id="584"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="584"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Constantly writes to HKLM--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKCR\VLC.</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="585"/><aml:annotation w:type="Word.Comment.End" aml:id="585"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="585"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--VLC update noise--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> HKCR\iTunes.</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="586"/><aml:annotation w:type="Word.Comment.End" aml:id="586"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="586"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Apple: iTunes update noise--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="587"/><aml:annotation w:type="Word.Comment.End" aml:id="587"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="587"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 15 : ALTERNATE DATA STREAM CREATED [FileCreateStreamHash]--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="588"/><aml:annotation w:type="Word.Comment.End" aml:id="588"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="588"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--EVENT 15: "File stream created"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="589"/><aml:annotation w:type="Word.Comment.End" aml:id="589"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="589"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: Any files created with an NTFS Alternate Data Stream which match these rules will be hashed and logged.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>[ https://blogs.technet.microsoft.com/askcore/2013/03/24/alternate-data-streams-in-ntfs/ ]</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>ADS's are used by browsers and email clients to mark files as originating from the Internet or other foreign sources.</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>[ https://textslashplain.com/2016/04/04/downloads-and-the-mark-of-the-web/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="590"/><aml:annotation w:type="Word.Comment.End" aml:id="590"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="590"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--NOTE: Other filesystem minifilters can make it appear to Sysmon that some files are being written twice. This is not a Sysmon issue, per Mark Russinovich.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="591"/><aml:annotation w:type="Word.Comment.End" aml:id="591"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="591"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DATA: UtcTime, ProcessGuid, ProcessId, Image, TargetFilename, CreationUtcTime, Hash--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Downloads</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="592"/><aml:annotation w:type="Word.Comment.End" aml:id="592"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="592"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Downloaded files. Does not include "Run" files in IE--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Temp\7z</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="593"/><aml:annotation w:type="Word.Comment.End" aml:id="593"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="593"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--7zip extractions--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> Startup</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="594"/><aml:annotation w:type="Word.Comment.End" aml:id="594"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="594"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--ADS startup | Example: [ https://www.hybrid-analysis.com/sample/a314f6106633fba4b70f9d6ddbee452e8f8f44a72117749c21243dc93c7ed3ac?environmentId=100 ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .bat</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="595"/><aml:annotation w:type="Word.Comment.End" aml:id="595"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="595"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Batch scripting--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .cmd</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="596"/><aml:annotation w:type="Word.Comment.End" aml:id="596"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="596"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Batch scripting | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .hta</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="597"/><aml:annotation w:type="Word.Comment.End" aml:id="597"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="597"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Scripting--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .lnk</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="598"/><aml:annotation w:type="Word.Comment.End" aml:id="598"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="598"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Shortcut file | Credit @ion-storm --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .ps1</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="599"/><aml:annotation w:type="Word.Comment.End" aml:id="599"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="599"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--PowerShell--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .ps2</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="600"/><aml:annotation w:type="Word.Comment.End" aml:id="600"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="600"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--PowerShell--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .reg</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="601"/><aml:annotation w:type="Word.Comment.End" aml:id="601"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="601"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Registry File--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .jse</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="602"/><aml:annotation w:type="Word.Comment.End" aml:id="602"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="602"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Registry File--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .vb</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="603"/><aml:annotation w:type="Word.Comment.End" aml:id="603"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="603"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--VisualBasicScripting files--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .vbe</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="604"/><aml:annotation w:type="Word.Comment.End" aml:id="604"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="604"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--VisualBasicScripting files--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><w:r><w:t> .vbs</w:t></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="605"/><aml:annotation w:type="Word.Comment.End" aml:id="605"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="605"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--VisualBasicScripting files--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="606"/><aml:annotation w:type="Word.Comment.End" aml:id="606"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="606"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 16 : SYSMON CONFIGURATION CHANGE--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="607"/><aml:annotation w:type="Word.Comment.End" aml:id="607"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="607"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--EVENT 16: "Sysmon config state changed"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="608"/><aml:annotation w:type="Word.Comment.End" aml:id="608"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="608"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--COMMENT: This ONLY logs if the hash of the configuration changes. Running "sysmon.exe -c" with the current configuration will not be logged with Event 16--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="609"/><aml:annotation w:type="Word.Comment.End" aml:id="609"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="609"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DATA: UtcTime, Configuration, ConfigurationFileHash--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="610"/><aml:annotation w:type="Word.Comment.End" aml:id="610"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="610"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Cannot be filtered.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="611"/><aml:annotation w:type="Word.Comment.End" aml:id="611"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="611"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 17 & 18 : PIPE CREATED / PIPE CONNECTED [PipeEvent]--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="612"/><aml:annotation w:type="Word.Comment.End" aml:id="612"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="612"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--EVENT 17: "Pipe Created"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="613"/><aml:annotation w:type="Word.Comment.End" aml:id="613"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="613"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--EVENT 18: "Pipe Connected"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="614"/><aml:annotation w:type="Word.Comment.End" aml:id="614"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="614"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--ADDITIONAL REFERENCE: [ https://www.cobaltstrike.com/help-smb-beacon ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="615"/><aml:annotation w:type="Word.Comment.End" aml:id="615"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="615"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--ADDITIONAL REFERENCE: [ https://blog.cobaltstrike.com/2015/10/07/named-pipe-pivoting/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="616"/><aml:annotation w:type="Word.Comment.End" aml:id="616"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="616"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DATA: UtcTime, ProcessGuid, ProcessId, PipeName, Image--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="617"/><aml:annotation w:type="Word.Comment.End" aml:id="617"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="617"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 19 & 20 & 21 : WMI EVENT MONITORING [WmiEvent]--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="618"/><aml:annotation w:type="Word.Comment.End" aml:id="618"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="618"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--EVENT 19: "WmiEventFilter activity detected"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="619"/><aml:annotation w:type="Word.Comment.End" aml:id="619"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="619"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--EVENT 20: "WmiEventConsumer activity detected"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="620"/><aml:annotation w:type="Word.Comment.End" aml:id="620"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="620"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--EVENT 21: "WmiEventConsumerToFilter activity detected"--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="621"/><aml:annotation w:type="Word.Comment.End" aml:id="621"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="621"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--ADDITIONAL REFERENCE: [ https://www.darkoperator.com/blog/2017/10/15/sysinternals-sysmon-610-tracking-of-permanent-wmi-events ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="622"/><aml:annotation w:type="Word.Comment.End" aml:id="622"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="622"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--ADDITIONAL REFERENCE: [ https://rawsec.lu/blog/posts/2017/Sep/19/sysmon-v610-vs-wmi-persistence/ ] --></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="623"/><aml:annotation w:type="Word.Comment.End" aml:id="623"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="623"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--DATA: EventType, UtcTime, Operation, User, Name, Type, Destination, Consumer, Filter--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="624"/><aml:annotation w:type="Word.Comment.End" aml:id="624"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="624"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--SYSMON EVENT ID 255 : ERROR--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="625"/><aml:annotation w:type="Word.Comment.End" aml:id="625"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="625"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--"This event is generated when an error occurred within Sysmon. They can happen if the system is under heavy load</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>and certain tasked could not be performed or a bug exists in the Sysmon service. You can report any bugs on the</w:t></w:r></w:p><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t>Sysinternals forum or over Twitter (@markrussinovich)."--></w:t></w:r></w:p></aml:content></aml:annotation></w:r><aml:annotation w:type="Word.Comment.Start" aml:id="626"/><aml:annotation w:type="Word.Comment.End" aml:id="626"/><w:r><w:rPr><w:rStyle w:val="CommentReference"/></w:rPr><aml:annotation aml:author="" aml:createdate="" w:type="Word.Comment" w:initials="" aml:id="626"><aml:content><w:p><w:pPr><w:pStyle w:val="CommentText"/></w:pPr><w:r><w:t><!--Cannot be filtered.--></w:t></w:r></w:p></aml:content></aml:annotation></w:r></w:p><w:sectPr><w:type w:val="next-page"/><w:pgSz xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0" w:w="11907.5672" w:h="16839.9003" w:orient="portrait"/><w:pgMar xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0" w:top="567" w:bottom="567" w:left="1134" w:gutter="0" w:right="567"/><w:pgBorders xmlns:fo="urn:oasis:names:tc:opendocument:xmlns:xsl-fo-compatible:1.0" w:offset-from="text"/></w:sectPr></w:body>
19 </w:wordDocument>