取证

analyzing-usb-device-connection-history 可協助在 Windows 上利用登錄機碼、事件記錄與 setupapi.dev.log 來調查 USB 裝置連線歷史，適用於數位鑑識、內部威脅調查與事件回應。它支援時間軸重建、裝置關聯分析，以及可移除媒體證據分析。

analyzing-browser-forensics-with-hindsight 可協助數位鑑識團隊使用 Hindsight 分析 Chromium 瀏覽器痕跡，包括瀏覽紀錄、下載項目、Cookie、自動填入、書籤、已儲存憑證中繼資料、快取與擴充功能。可用來重建網路活動、檢視時間軸，並調查 Chrome、Edge、Brave 與 Opera 使用者設定檔。

analyzing-bootkit-and-rootkit-samples 是一個用於 MBR、VBR、UEFI 與 rootkit 調查的惡意程式分析技能。當入侵跡象持續停留在作業系統以下層級時，可用它來檢查開機磁區、韌體模組與反 rootkit 指標。它適合需要實用指引、清楚流程，以及以證據為基礎的 Malware Analysis 分流判讀的分析人員。

building-incident-timeline-with-timesketch 可協助 DFIR 團隊在 Timesketch 中建立可協作的事件時間線，透過匯入 Plaso、CSV 或 JSONL 證據，標準化時間戳、關聯事件，並記錄攻擊鏈，支援事件初步分流與報告撰寫。

analyzing-supply-chain-malware-artifacts 是一個用於追查木馬化更新、遭投毒的依賴項與建置流程竄改的惡意軟體分析技能。可用來比對可信與不可信的工件、擷取指標、評估受影響範圍，並以更少猜測完成回報。

analyzing-ransomware-payment-wallets 是一個唯讀的區塊鏈鑑識技能，用於追蹤勒索軟體收款錢包、追查資金流向，並對相關地址進行群聚分析，以支援資安稽核與事件應變。當你手上有 BTC 地址、交易雜湊或可疑錢包，且需要有證據基礎的歸因支援時，這項技能特別適合。

analyzing-ransomware-encryption-mechanisms 惡意程式分析技能，重點在辨識勒索軟體的加密方式、金鑰處理與解密可行性。可用來檢視 AES、RSA、ChaCha20、混合式方案，以及可能有助於資料復原的實作缺陷。

analyzing-ransomware-leak-site-intelligence 可用來監控勒索軟體資料外洩站、擷取受害者與團伙訊號，並產出結構化威脅情資，支援事件應變、產業風險檢視與對手追蹤。

extracting-windows-event-logs-artifacts 可協助你擷取、解析並分析 Windows Event Logs（EVTX），用於數位鑑識、事件回應與威脅狩獵。它支援以結構化方式檢視登入、程序建立、服務安裝、排程工作、權限變更與日誌清除，並可搭配 Chainsaw、Hayabusa 和 EvtxECmd 使用。

這是一份用 Rekall 分析 Windows 記憶體映像的 extracting-memory-artifacts-with-rekall 指南。你將學到安裝與使用模式，並找出隱藏程序、注入程式碼、可疑 VAD、已載入 DLL 與網路活動，適用於數位鑑識。

extracting-credentials-from-memory-dump 這項技能可協助你使用 Volatility 3 與 pypykatz 工作流程，分析 Windows 記憶體傾印中的 NTLM 雜湊、LSA secrets、Kerberos 材料與 token。它特別適合數位鑑識與事件回應情境，當你需要從有效的傾印中取得具證據力的結果、評估帳號影響，並提出修復建議時使用。

extracting-browser-history-artifacts 是一項數位鑑識技能，用於從 Chrome、Firefox 和 Edge 擷取瀏覽歷史、Cookie、快取、下載記錄與書籤。適合把瀏覽器設定檔檔案轉成可直接納入時間軸的證據，並提供可重複執行、以案件為中心的工作流程指引。

eradicating-malware-from-infected-systems 是一項資安事件應變技能，用於在完成遏制後移除惡意軟體、後門與持久化機制。內容涵蓋工作流程指引、參考檔案，以及用於 Windows 和 Linux 清理、憑證輪替、根因修補與驗證的腳本。

analyzing-linux-kernel-rootkits 可協助 DFIR 與威脅狩獵工作流程，透過 Volatility3 的 cross-view 檢查、rkhunter 掃描，以及 /proc 與 /sys 比對，偵測 Linux kernel rootkit，找出隱藏模組、被掛鉤的系統呼叫與遭竄改的核心結構。這是一份實用的 analyzing-linux-kernel-rootkits 指南，適合用於鑑識初步分流。

analyzing-linux-elf-malware 協助分析可疑的 Linux ELF 二進位檔，用於惡意軟體分析；涵蓋架構檢查、strings、imports、靜態初步篩查，以及辨識殭屍網路、挖礦程式、rootkit、勒索軟體與容器威脅的早期徵兆。

conducting-memory-forensics-with-volatility 可協助你使用 Volatility 3 分析 RAM 映像檔，找出注入程式碼、可疑程序、網路連線、憑證竊取，以及隱藏的核心層活動。這是一個實用的 conducting-memory-forensics-with-volatility 技能，適合數位鑑識與事件回應的初步分流。

conducting-malware-incident-response 可協助 IR 團隊分流可疑惡意軟體、確認是否感染、判定擴散範圍、隔離端點，並支援清除與復原。此技能專為 conducting-malware-incident-response 的 Incident Response 工作流程而設計，提供有證據基礎的步驟、以遙測為依據的判斷，以及實用的封鎖與隔離指引。

conducting-cloud-incident-response 是一個適用於 AWS、Azure 與 GCP 的雲端事件回應技能。它聚焦於以身分為基礎的封鎖、日誌審查、資源隔離與鑑識證據擷取。當你面對可疑的 API 活動、疑似遭入侵的存取金鑰，或雲端代管工作負載遭突破時，這份 conducting-cloud-incident-response 指南能提供實用作法。

analyzing-windows-registry-for-artifacts 可協助分析人員從 Windows Registry hive 中擷取證據，用來辨識使用者活動、已安裝軟體、Autoruns、USB 歷史，以及入侵跡象，支援事件回應或 Security Audit 工作流程。

analyzing-windows-amcache-artifacts 技能會解析 Windows 的 Amcache.hve 資料，用於還原程式執行、已安裝軟體、裝置活動與驅動程式載入的證據，支援 DFIR 與安全稽核流程。它結合 AmcacheParser 與基於 regipy 的操作指引，協助進行 artifact 擷取、SHA-1 關聯與時間軸檢視。

analyzing-uefi-bootkit-persistence 協助調查 UEFI 層級的持久化，包括 SPI flash 置入、ESP 竄改、Secure Boot 規避，以及可疑的 UEFI 變數變更。它適用於韌體初步分流、事件回應，以及針對 Security Audit 工作所需的 analyzing-uefi-bootkit-persistence 分析，提供務實、以證據為本的指引。

analyzing-powershell-empire-artifacts 技能可協助資安稽核團隊透過 Script Block Logging、Base64 啟動器樣式、stager IOC、模組特徵與偵測參考，在 Windows 日誌中找出 PowerShell Empire 相關工件，方便進行初步判讀與規則撰寫。

這個 analyzing-powershell-script-block-logging 技能可用來解析 Windows PowerShell Script Block Logging 的 Event ID 4104（來自 EVTX 檔案），重建被拆分的 script block，並標記混淆指令、編碼 payload、Invoke-Expression 濫用、download cradle，以及 AMSI bypass 嘗試，適合 Security Audit 工作。

analyzing-pdf-malware-with-pdfid 是一個 PDF 惡意程式初步判讀技能，可在開啟檔案前偵測內嵌 JavaScript、利用程式標記、物件串流、附件與可疑動作。它支援惡意 PDF 調查、事件應變與分析流程中的靜態分析，適合用於 Security Audit 工作流中的 analyzing-pdf-malware-with-pdfid。