T1490
جلوگیری از بازیابی سیستم
Inhibit System Recoveryتوضیحات
مهاجمان ابزارها و فرآیندهای بازیابی سیستم مانند shadow copy ها، backup ها و restore point ها را حذف یا غیرفعال میکنند.
روشهای شناسایی
نظارت بر حذف shadow copy ها. بررسی دستوراتی مانند vssadmin delete shadows و bcdedit. نظارت بر تغییرات boot configuration.
روشهای مقابله
نگهداری backup در مکانهای جداگانه و offline. محدود کردن دسترسی به ابزارهای بازیابی.