应用窗口披露

攻击者可能会尝试获取正在运行的应用程序窗口列表。窗口列表可以传达有关系统的使用信息，或者为键盘记录器收集的信息提供上下文。

在 Mac 中，这可以在本地使用轻量级 AppleScript 脚本完成。

缓解

识别不必要的系统实用程序或潜在的恶意软件，并在适当的情况下使用白名单工具（如 AppLocker、 或软件限制策略 ) 审计和/或拦截它们。

检测

由于攻击者了解环境，系统和网络披露技术通常发生在整个操作过程中。不应孤立地查看数据和事件，而应将其视为可能导致其他活动的行为链的一部分，这些活动基于所获得的信息进行。

监视可以收集系统和网络信息的进程和命令行参数的操作。具有内置功能的远程访问工具可以直接与 Windows API 交互以收集信息。还可以通过 Windows 系统管理工具（如 Windows 管理规范和 PowerShell）获取信息。

- 译者: 林妙倩、戴亦仑 . source:cve.scap.org.cn