Dfir

building-incident-timeline-with-timesketch giúp các đội DFIR xây dựng dòng thời gian sự cố cộng tác trong Timesketch bằng cách nạp dữ liệu bằng chứng Plaso, CSV hoặc JSONL, chuẩn hóa dấu thời gian, đối chiếu sự kiện và ghi lại chuỗi tấn công cho việc phân tích, xử lý ban đầu và báo cáo sự cố.

eradicating-malware-from-infected-systems là một kỹ năng ứng phó sự cố an ninh mạng để loại bỏ malware, backdoor và các cơ chế bám trụ sau khi đã cô lập. Kỹ năng này bao gồm hướng dẫn quy trình, các tệp tham chiếu và script cho việc dọn dẹp trên Windows và Linux, xoay vòng thông tin đăng nhập, khắc phục nguyên nhân gốc và xác minh kết quả.

Skill detecting-wmi-persistence giúp các chuyên gia săn tìm mối đe doạ và analyst DFIR phát hiện cơ chế tồn tại bền bỉ qua WMI event subscription trong telemetry Windows bằng Sysmon Event IDs 19, 20 và 21. Dùng nó để nhận diện hoạt động độc hại của EventFilter, EventConsumer và FilterToConsumerBinding, xác thực phát hiện và phân tách persistence của kẻ tấn công với tự động hoá quản trị hợp lệ.

analyzing-malicious-pdf-with-peepdf là một kỹ năng phân tích mã độc tĩnh dành cho các tệp PDF đáng ngờ. Dùng peepdf, pdfid và pdf-parser để sàng lọc tệp đính kèm phishing, kiểm tra các đối tượng, trích xuất JavaScript hoặc shellcode nhúng, và xem xét an toàn các luồng dữ liệu đáng ngờ mà không cần thực thi.

conducting-memory-forensics-with-volatility giúp bạn phân tích các bản dump RAM bằng Volatility 3 để phát hiện mã chèn vào bộ nhớ, tiến trình đáng ngờ, kết nối mạng, hành vi đánh cắp thông tin xác thực và hoạt động kernel ẩn. Đây là một kỹ năng conducting-memory-forensics-with-volatility thực dụng cho Digital Forensics và triage ứng phó sự cố.

analyzing-windows-prefetch-with-python phân tích các tệp Windows Prefetch (.pf) bằng windowsprefetch để dựng lại lịch sử thực thi, phát hiện các binary bị đổi tên hoặc ngụy trang, và hỗ trợ phân loại sự cố cùng phân tích mã độc.

Kỹ năng analyzing-windows-amcache-artifacts phân tích dữ liệu Windows Amcache.hve để truy xuất bằng chứng về việc chương trình đã chạy, phần mềm đã cài đặt, hoạt động của thiết bị và việc nạp driver cho quy trình DFIR và kiểm tra bảo mật. Kỹ năng này dùng hướng dẫn dựa trên AmcacheParser và regipy để hỗ trợ trích xuất artifact, đối chiếu SHA-1 và rà soát dòng thời gian.

analyzing-mft-for-deleted-file-recovery giúp khôi phục metadata của file đã xóa và các dấu vết về đường dẫn hoặc nội dung bằng cách phân tích các bản ghi NTFS $MFT, $LogFile, $UsnJrnl và vùng slack của MFT. Được xây dựng cho quy trình DFIR và Security Audit với MFTECmd, analyzeMFT và X-Ways Forensics.