数字取证

detecting-lateral-movement-with-zeek 是一個以 Zeek 為基礎的資安技能，適用於威脅狩獵與事件回應。它可透過 Zeek 日誌（如 conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log、kerberos.log）偵測 SMB 管理員共享存取、DCE/RPC 服務建立、NTLM spray、Kerberos 異常，以及可疑的內網傳輸。

analyzing-windows-shellbag-artifacts 可協助 DFIR 分析人員解讀 Windows Shellbag 登錄檔 artefact，重建資料夾瀏覽紀錄、已刪除資料夾存取、可移除媒體使用情況，以及網路共享活動，並搭配 SBECmd 與 ShellBags Explorer 使用。這是一份實用的 analyzing-windows-shellbag-artifacts 指南，適合事件回應與鑑識工作。

analyzing-android-malware-with-apktool 是一個用於 Android APK 惡意程式靜態分析的技能。它結合 apktool、jadx 與 androguard，協助解包應用程式、檢查 manifest 與權限、還原近似原始碼的內容，並擷取可疑 API 與 IOC，支援 Malware Analysis。

detecting-rootkit-activity 是一項惡意程式分析技能，用於找出 rootkit 徵兆，例如隱藏程序、被鉤住的系統呼叫、遭竄改的核心結構、隱藏模組與隱蔽網路痕跡。它透過交叉視角比對與完整性檢查，協助在標準工具結果不一致時驗證可疑主機。

analyzing-usb-device-connection-history 可協助在 Windows 上利用登錄機碼、事件記錄與 setupapi.dev.log 來調查 USB 裝置連線歷史，適用於數位鑑識、內部威脅調查與事件回應。它支援時間軸重建、裝置關聯分析，以及可移除媒體證據分析。

analyzing-browser-forensics-with-hindsight 可協助數位鑑識團隊使用 Hindsight 分析 Chromium 瀏覽器痕跡，包括瀏覽紀錄、下載項目、Cookie、自動填入、書籤、已儲存憑證中繼資料、快取與擴充功能。可用來重建網路活動、檢視時間軸，並調查 Chrome、Edge、Brave 與 Opera 使用者設定檔。

analyzing-bootkit-and-rootkit-samples 是一個用於 MBR、VBR、UEFI 與 rootkit 調查的惡意程式分析技能。當入侵跡象持續停留在作業系統以下層級時，可用它來檢查開機磁區、韌體模組與反 rootkit 指標。它適合需要實用指引、清楚流程，以及以證據為基礎的 Malware Analysis 分流判讀的分析人員。

building-incident-timeline-with-timesketch 可協助 DFIR 團隊在 Timesketch 中建立可協作的事件時間線，透過匯入 Plaso、CSV 或 JSONL 證據，標準化時間戳、關聯事件，並記錄攻擊鏈，支援事件初步分流與報告撰寫。

analyzing-malware-persistence-with-autoruns 是一個用於惡意程式分析的 Sysinternals Autoruns 技能。它可協助你以可重複的流程檢視 Windows 持久化位置，包括 Run 機碼、服務、排程工作、Winlogon、驅動程式與 WMI，並透過 CSV 匯出、可疑項目審查與可直接納入報告的結果來完成分析。

hunting-advanced-persistent-threats 是一個威脅狩獵技能，用來偵測橫跨端點、網路與記憶體遙測的 APT 風格活動。它能協助分析師建立以假設為導向的狩獵流程，將發現對應到 MITRE ATT&CK，並把威脅情資轉化為可執行的查詢與調查步驟，而不是零散的搜尋。

extracting-windows-event-logs-artifacts 可協助你擷取、解析並分析 Windows Event Logs（EVTX），用於數位鑑識、事件回應與威脅狩獵。它支援以結構化方式檢視登入、程序建立、服務安裝、排程工作、權限變更與日誌清除，並可搭配 Chainsaw、Hayabusa 和 EvtxECmd 使用。

這是一份用 Rekall 分析 Windows 記憶體映像的 extracting-memory-artifacts-with-rekall 指南。你將學到安裝與使用模式，並找出隱藏程序、注入程式碼、可疑 VAD、已載入 DLL 與網路活動，適用於數位鑑識。

extracting-credentials-from-memory-dump 這項技能可協助你使用 Volatility 3 與 pypykatz 工作流程，分析 Windows 記憶體傾印中的 NTLM 雜湊、LSA secrets、Kerberos 材料與 token。它特別適合數位鑑識與事件回應情境，當你需要從有效的傾印中取得具證據力的結果、評估帳號影響，並提出修復建議時使用。

extracting-iocs-from-malware-samples 的惡意程式分析技能指南：從樣本中擷取雜湊、IP、網域、URL、主機痕跡與驗證線索，用於威脅情報與偵測。

適用於惡意程式分析的 extracting-config-from-agent-tesla-rat 技能：可依可重複的工作流程，擷取 Agent Tesla 的 .NET 設定、SMTP/FTP/Telegram 憑證、keylogger 設定與 C2 端點。

extracting-browser-history-artifacts 是一項數位鑑識技能，用於從 Chrome、Firefox 和 Edge 擷取瀏覽歷史、Cookie、快取、下載記錄與書籤。適合把瀏覽器設定檔檔案轉成可直接納入時間軸的證據，並提供可重複執行、以案件為中心的工作流程指引。

eradicating-malware-from-infected-systems 是一項資安事件應變技能，用於在完成遏制後移除惡意軟體、後門與持久化機制。內容涵蓋工作流程指引、參考檔案，以及用於 Windows 和 Linux 清理、憑證輪替、根因修補與驗證的腳本。

detecting-wmi-persistence 技能可協助威脅獵捕與 DFIR 分析師，使用 Sysmon Event IDs 19、20、21 在 Windows 遙測中偵測 WMI 事件訂閱持久化。可用來辨識惡意的 EventFilter、EventConsumer 與 FilterToConsumerBinding 活動、驗證調查結果，並區分攻擊者持久化與正常的系統管理自動化。

detecting-stuxnet-style-attacks 技能可協助防禦者偵測類 Stuxnet 的 OT 與 ICS 入侵模式，包括 PLC 邏輯竄改、感測器資料偽造、工程工作站遭入侵，以及 IT 到 OT 的橫向移動。適合用於威脅狩獵、事件初步分流與製程完整性監控，並可結合通訊協定、主機與程序層證據進行判讀。

detecting-process-injection-techniques 可協助分析可疑的記憶體內活動、驗證 EDR 警示，並辨識 process hollowing、APC injection、thread hijacking、reflective loading 與傳統 DLL injection，適用於安全稽核與惡意程式初步分析。

detecting-arp-poisoning-in-network-traffic 可使用 ARPWatch、Dynamic ARP Inspection、Wireshark 與 Python 檢查，協助在即時流量或 PCAP 中偵測 ARP 欺騙。適合事件應變、SOC 初步分流，以及針對 IP 對 MAC 變更、gratuitous ARPs 與 MITM 指標進行可重複分析。

analyzing-outlook-pst-for-email-forensics 是一項數位鑑識技能，用於檢視 Outlook PST 與 OST 檔案中的郵件內容、標頭、附件、已刪除項目、時間戳記與中繼資料。它支援電子郵件證據檢視、時間線重建，以及適用於事件回應與法律案件的可受檢驗調查流程。

analyzing-packed-malware-with-upx-unpacker 是一個惡意程式分析技能，可用來辨識 UPX 打包樣本、處理經過修改的 UPX 標頭，並將原始可執行檔還原以便在 Ghidra 或 IDA 中進行靜態檢視。當 `upx -d` 失敗，或你需要更快的 UPX 打包檢查與解包流程時，就很適合用它。

analyzing-network-traffic-for-incidents 可協助事件應變人員分析 PCAP、流量日誌與封包擷取結果，以確認 C2、橫向移動、資料外傳與利用嘗試。此內容專為 Incident Response 的 analyzing-network-traffic-for-incidents 場景設計，搭配 Wireshark、Zeek 與 NetFlow 類型的調查流程。