M
building-incident-timeline-with-timesketch
作者 mukul975
building-incident-timeline-with-timesketch 可協助 DFIR 團隊在 Timesketch 中建立可協作的事件時間線,透過匯入 Plaso、CSV 或 JSONL 證據,標準化時間戳、關聯事件,並記錄攻擊鏈,支援事件初步分流與報告撰寫。
事件分诊
收藏 0GitHub 6.1k
Dfir
Dfir taxonomy generated by the site skill importer.
8 個技能
M
eradicating-malware-from-infected-systems
作者 mukul975
eradicating-malware-from-infected-systems 是一項資安事件應變技能,用於在完成遏制後移除惡意軟體、後門與持久化機制。內容涵蓋工作流程指引、參考檔案,以及用於 Windows 和 Linux 清理、憑證輪替、根因修補與驗證的腳本。
Incident Response
收藏 0GitHub 0
M
detecting-wmi-persistence
作者 mukul975
detecting-wmi-persistence 技能可協助威脅獵捕與 DFIR 分析師,使用 Sysmon Event IDs 19、20、21 在 Windows 遙測中偵測 WMI 事件訂閱持久化。可用來辨識惡意的 EventFilter、EventConsumer 與 FilterToConsumerBinding 活動、驗證調查結果,並區分攻擊者持久化與正常的系統管理自動化。
Threat Hunting
收藏 0GitHub 0
M
analyzing-malicious-pdf-with-peepdf
作者 mukul975
analyzing-malicious-pdf-with-peepdf 是一個用於可疑 PDF 的靜態惡意程式分析技能。可搭配 peepdf、pdfid 和 pdf-parser 進行釣魚附件初步判讀、檢查物件、擷取內嵌 JavaScript 或 shellcode,並在不執行檔案的情況下安全檢視可疑串流。
Malware Analysis
收藏 0GitHub 0
M
conducting-memory-forensics-with-volatility
作者 mukul975
conducting-memory-forensics-with-volatility 可協助你使用 Volatility 3 分析 RAM 映像檔,找出注入程式碼、可疑程序、網路連線、憑證竊取,以及隱藏的核心層活動。這是一個實用的 conducting-memory-forensics-with-volatility 技能,適合數位鑑識與事件回應的初步分流。
Digital Forensics
收藏 0GitHub 0
M
analyzing-windows-prefetch-with-python
作者 mukul975
analyzing-windows-prefetch-with-python 會使用 windowsprefetch 解析 Windows Prefetch(.pf)檔案,重建執行歷史、找出重新命名或偽裝的二進位檔,並支援事件初步分流與惡意程式分析。
事件分诊
收藏 0GitHub 0
M
analyzing-windows-amcache-artifacts
作者 mukul975
analyzing-windows-amcache-artifacts 技能會解析 Windows 的 Amcache.hve 資料,用於還原程式執行、已安裝軟體、裝置活動與驅動程式載入的證據,支援 DFIR 與安全稽核流程。它結合 AmcacheParser 與基於 regipy 的操作指引,協助進行 artifact 擷取、SHA-1 關聯與時間軸檢視。
安全稽核
收藏 0GitHub 0
M
analyzing-mft-for-deleted-file-recovery
作者 mukul975
analyzing-mft-for-deleted-file-recovery 可透過分析 NTFS 的 $MFT 記錄、$LogFile、$UsnJrnl 與 MFT slack space,協助找回已刪除檔案的中繼資料,以及可能的路徑或內容證據。適用於 DFIR 與 Security Audit 工作流程,並搭配 MFTECmd、analyzeMFT 和 X-Ways Forensics 使用。
安全稽核
收藏 0GitHub 0