Forensics

analyzing-usb-device-connection-history giúp điều tra lịch sử kết nối thiết bị USB trên Windows bằng các hive registry, event log và `setupapi.dev.log` cho forensic số, điều tra mối đe doạ nội gián và ứng phó sự cố. Skill này hỗ trợ dựng lại timeline, đối chiếu thiết bị và phân tích bằng chứng từ thiết bị lưu trữ rời.

analyzing-browser-forensics-with-hindsight giúp các nhóm Digital Forensics phân tích các artifact của trình duyệt Chromium bằng Hindsight, bao gồm history, downloads, cookies, autofill, bookmarks, metadata thông tin đăng nhập đã lưu, cache và extensions. Dùng nó để tái dựng hoạt động web, xem lại timeline và điều tra các profile của Chrome, Edge, Brave và Opera.

analyzing-bootkit-and-rootkit-samples là một kỹ năng phân tích malware dành cho các cuộc điều tra MBR, VBR, UEFI và rootkit. Hãy dùng nó để kiểm tra boot sector, các mô-đun firmware và các dấu hiệu chống anti-rootkit khi sự xâm nhập vẫn tồn tại bên dưới lớp hệ điều hành. Kỹ năng này phù hợp với nhà phân tích cần một hướng dẫn thực dụng, quy trình rõ ràng và cách phân loại ưu tiên dựa trên bằng chứng cho Malware Analysis.

building-incident-timeline-with-timesketch giúp các đội DFIR xây dựng dòng thời gian sự cố cộng tác trong Timesketch bằng cách nạp dữ liệu bằng chứng Plaso, CSV hoặc JSONL, chuẩn hóa dấu thời gian, đối chiếu sự kiện và ghi lại chuỗi tấn công cho việc phân tích, xử lý ban đầu và báo cáo sự cố.

analyzing-supply-chain-malware-artifacts là một skill phân tích malware dùng để truy vết các bản cập nhật bị cài trojan, dependency bị đầu độc và việc can thiệp vào pipeline build. Hãy dùng nó để so sánh artefact đáng tin cậy và không đáng tin cậy, trích xuất chỉ dấu, đánh giá phạm vi bị xâm nhập, và báo cáo phát hiện với ít phải phỏng đoán hơn.

analyzing-ransomware-payment-wallets là một skill pháp chứng blockchain chỉ đọc, dùng để truy vết ví thanh toán ransomware, theo dõi dòng tiền và gom cụm các địa chỉ liên quan cho kiểm toán bảo mật và ứng phó sự cố. Hãy dùng nó khi bạn có địa chỉ BTC, hash giao dịch hoặc một ví bị nghi ngờ và cần hỗ trợ quy kết có bằng chứng.

Kỹ năng analyzing-ransomware-encryption-mechanisms dành cho phân tích mã độc, tập trung vào việc nhận diện mã hóa ransomware, cách xử lý khóa và khả năng giải mã. Dùng để kiểm tra AES, RSA, ChaCha20, các схем lai (hybrid) và những lỗi triển khai có thể hỗ trợ khôi phục dữ liệu.

analyzing-ransomware-leak-site-intelligence giúp theo dõi các site rò rỉ dữ liệu của ransomware, trích xuất tín hiệu về nạn nhân và nhóm tấn công, đồng thời tạo ra tình báo mối đe dọa có cấu trúc cho ứng phó sự cố, đánh giá rủi ro theo ngành và theo dõi đối thủ.

extracting-windows-event-logs-artifacts giúp bạn trích xuất, phân tích cú pháp và phân tích Windows Event Logs (EVTX) cho điều tra số, ứng phó sự cố và săn tìm mối đe dọa. Skill này hỗ trợ rà soát có cấu trúc các sự kiện đăng nhập, tạo tiến trình, cài dịch vụ, tác vụ theo lịch, thay đổi đặc quyền và xóa log bằng Chainsaw, Hayabusa và EvtxECmd.

Hướng dẫn extracting-memory-artifacts-with-rekall để phân tích ảnh bộ nhớ Windows bằng Rekall. Tìm hiểu cách cài đặt và các mẫu sử dụng để phát hiện tiến trình ẩn, mã bị chèn, VAD đáng ngờ, DLL đã nạp và hoạt động mạng phục vụ Digital Forensics.

Kỹ năng extracting-credentials-from-memory-dump hỗ trợ phân tích các memory dump của Windows để tìm NTLM hash, LSA secret, dữ liệu Kerberos và token bằng quy trình Volatility 3 và pypykatz. Kỹ năng này phù hợp cho Digital Forensics và ứng phó sự cố khi bạn cần bằng chứng có thể bảo vệ được, đánh giá mức độ ảnh hưởng tới tài khoản và hướng dẫn khắc phục từ một dump hợp lệ.

extracting-browser-history-artifacts là một kỹ năng Digital Forensics dùng để trích xuất lịch sử duyệt web, cookie, cache, lượt tải xuống và dấu trang từ Chrome, Firefox và Edge. Hãy dùng nó để chuyển các tệp hồ sơ trình duyệt thành chứng cứ sẵn sàng cho mốc thời gian, với quy trình hướng dẫn có thể lặp lại và bám sát từng vụ việc.

eradicating-malware-from-infected-systems là một kỹ năng ứng phó sự cố an ninh mạng để loại bỏ malware, backdoor và các cơ chế bám trụ sau khi đã cô lập. Kỹ năng này bao gồm hướng dẫn quy trình, các tệp tham chiếu và script cho việc dọn dẹp trên Windows và Linux, xoay vòng thông tin đăng nhập, khắc phục nguyên nhân gốc và xác minh kết quả.

analyzing-linux-kernel-rootkits giúp các quy trình DFIR và săn lùng mối đe dọa phát hiện rootkit kernel Linux bằng các kiểm tra cross-view với Volatility3, quét rkhunter, và phân tích /proc so với /sys để tìm module ẩn, syscall bị hook, và cấu trúc kernel bị can thiệp. Đây là một hướng dẫn phân tích analyzing-linux-kernel-rootkits thực dụng cho sàng lọc pháp chứng ban đầu.

analyzing-linux-elf-malware giúp phân tích các tệp nhị phân ELF Linux đáng ngờ phục vụ phân tích mã độc, với hướng dẫn kiểm tra kiến trúc, strings, imports, sàng lọc tĩnh và nhận diện sớm các dấu hiệu botnet, miner, rootkit, ransomware và mối đe dọa trong container.

conducting-memory-forensics-with-volatility giúp bạn phân tích các bản dump RAM bằng Volatility 3 để phát hiện mã chèn vào bộ nhớ, tiến trình đáng ngờ, kết nối mạng, hành vi đánh cắp thông tin xác thực và hoạt động kernel ẩn. Đây là một kỹ năng conducting-memory-forensics-with-volatility thực dụng cho Digital Forensics và triage ứng phó sự cố.

conducting-malware-incident-response giúp các nhóm IR sàng lọc nghi ngờ nhiễm mã độc, xác nhận lây nhiễm, khoanh vùng mức độ lan rộng, cô lập endpoint và hỗ trợ loại bỏ cùng khôi phục. Skill này được thiết kế cho conducting-malware-incident-response trong quy trình Incident Response, với các bước dựa trên bằng chứng, quyết định dựa trên telemetry và hướng dẫn cô lập thực tế.

conducting-cloud-incident-response là một skill ứng phó sự cố đám mây cho AWS, Azure và GCP. Skill này tập trung vào khoanh vùng dựa trên danh tính, rà soát log, cô lập tài nguyên và thu thập bằng chứng pháp y. Hãy dùng nó khi thấy hoạt động API đáng ngờ, khóa truy cập bị lộ hoặc xâm nhập workload trên cloud, khi bạn cần một hướng dẫn conducting-cloud-incident-response thực dụng.

analyzing-windows-registry-for-artifacts giúp nhà phân tích trích xuất bằng chứng từ các hive của Windows Registry để xác định hoạt động người dùng, phần mềm đã cài, autoruns, lịch sử USB và các chỉ dấu xâm nhập phục vụ quy trình điều tra sự cố hoặc Security Audit.

Kỹ năng analyzing-windows-amcache-artifacts phân tích dữ liệu Windows Amcache.hve để truy xuất bằng chứng về việc chương trình đã chạy, phần mềm đã cài đặt, hoạt động của thiết bị và việc nạp driver cho quy trình DFIR và kiểm tra bảo mật. Kỹ năng này dùng hướng dẫn dựa trên AmcacheParser và regipy để hỗ trợ trích xuất artifact, đối chiếu SHA-1 và rà soát dòng thời gian.

analyzing-uefi-bootkit-persistence giúp điều tra persistence ở mức UEFI, bao gồm implant trong SPI flash, can thiệp ESP, vượt qua Secure Boot và các thay đổi đáng ngờ của biến UEFI. Kỹ năng này được thiết kế cho phân loại firmware, ứng phó sự cố và analyzing-uefi-bootkit-persistence trong công việc Security Audit, với hướng dẫn thực tế, dựa trên bằng chứng.

Kỹ năng analyzing-powershell-empire-artifacts giúp các nhóm Security Audit phát hiện dấu vết PowerShell Empire trong nhật ký Windows bằng Script Block Logging, mẫu launcher Base64, IOC của stager, chữ ký module và các tham chiếu phát hiện để hỗ trợ triage và viết rule.

Kỹ năng analyzing-powershell-script-block-logging dùng để phân tích Windows PowerShell Script Block Logging Event ID 4104 từ file EVTX, tái tạo các script block bị chia nhỏ, và phát hiện lệnh bị làm rối, payload mã hóa, lạm dụng `Invoke-Expression`, download cradle, cùng các nỗ lực vượt qua AMSI cho công việc Security Audit.

analyzing-pdf-malware-with-pdfid là một kỹ năng sàng lọc mã độc PDF để phát hiện JavaScript nhúng, dấu hiệu khai thác, object stream, tệp đính kèm và các hành vi đáng ngờ trước khi mở file. Kỹ năng này hỗ trợ phân tích tĩnh cho điều tra PDF độc hại, ứng phó sự cố và quy trình bảo mật/audit với analyzing-pdf-malware-with-pdfid.