Lolbins

detecting-living-off-the-land-with-lolbas 可協助偵測 LOLBAS 濫用，結合 Sysmon 與 Windows Event Logs，運用程序遙測、父子程序脈絡、Sigma 規則，以及一份實用的分流、威脅狩獵與規則撰寫指南。它也支援 detecting-living-off-the-land-with-lolbas 的威脅建模與分析師工作流程，涵蓋 certutil、regsvr32、mshta 與 rundll32。

detecting-living-off-the-land-attacks 技能，適用於 Security Audit、威脅狩獵與事件回應。透過程序建立、命令列與父子程序關聯遙測，偵測 certutil、mshta、rundll32、regsvr32 等合法 Windows 二進位檔遭濫用的情況。本指南聚焦可直接落地的 LOLBin 偵測模式，而非廣泛的 Windows 強化。

detecting-fileless-malware-techniques 技能支援惡意程式分析工作流程，用來調查透過 PowerShell、WMI、.NET reflection、登錄檔常駐 payload 與 LOLBins 在記憶體中執行的無檔案惡意程式。適合用來把可疑警示轉成有證據支撐的初步分流、偵測構想與後續狩獵方向。