Persistence

eradicating-malware-from-infected-systems 是一項資安事件應變技能，用於在完成遏制後移除惡意軟體、後門與持久化機制。內容涵蓋工作流程指引、參考檔案，以及用於 Windows 和 Linux 清理、憑證輪替、根因修補與驗證的腳本。

detecting-wmi-persistence 技能可協助威脅獵捕與 DFIR 分析師，使用 Sysmon Event IDs 19、20、21 在 Windows 遙測中偵測 WMI 事件訂閱持久化。可用來辨識惡意的 EventFilter、EventConsumer 與 FilterToConsumerBinding 活動、驗證調查結果，並區分攻擊者持久化與正常的系統管理自動化。

conducting-pass-the-ticket-attack 是一個用於資安稽核與紅隊演練的技能，協助你規劃與記錄 Pass-the-Ticket（PtT）流程。它可幫助你檢視 Kerberos 票證、對應偵測訊號，並使用 conducting-pass-the-ticket-attack skill 產出結構化的驗證或報告流程。

這份 conducting-domain-persistence-with-dcsync 指南適用於授權的 Active Directory 安全稽核工作。透過隨附的腳本、參考資料與報告範本，了解如何安裝、使用與規劃工作流程，以評估 DCSync 權限、KRBTGT 暴露、Golden Ticket 風險與修補步驟。