作者 mukul975
analyzing-windows-shellbag-artifacts 可協助 DFIR 分析人員解讀 Windows Shellbag 登錄檔 artefact,重建資料夾瀏覽紀錄、已刪除資料夾存取、可移除媒體使用情況,以及網路共享活動,並搭配 SBECmd 與 ShellBags Explorer 使用。這是一份實用的 analyzing-windows-shellbag-artifacts 指南,適合事件回應與鑑識工作。
作者 mukul975
detecting-t1003-credential-dumping-with-edr 技能,適用於結合 EDR、Sysmon 與 Windows 事件關聯進行威脅狩獵,偵測 LSASS、SAM、NTDS.dit、LSA secrets 以及快取憑證傾印。可用來驗證告警、界定事件範圍,並透過實作導向的流程指引降低誤判。
作者 mukul975
這是一份用 Rekall 分析 Windows 記憶體映像的 extracting-memory-artifacts-with-rekall 指南。你將學到安裝與使用模式,並找出隱藏程序、注入程式碼、可疑 VAD、已載入 DLL 與網路活動,適用於數位鑑識。
作者 mukul975
extracting-browser-history-artifacts 是一項數位鑑識技能,用於從 Chrome、Firefox 和 Edge 擷取瀏覽歷史、Cookie、快取、下載記錄與書籤。適合把瀏覽器設定檔檔案轉成可直接納入時間軸的證據,並提供可重複執行、以案件為中心的工作流程指引。
