Wmi

detecting-wmi-persistence 技能可協助威脅獵捕與 DFIR 分析師，使用 Sysmon Event IDs 19、20、21 在 Windows 遙測中偵測 WMI 事件訂閱持久化。可用來辨識惡意的 EventFilter、EventConsumer 與 FilterToConsumerBinding 活動、驗證調查結果，並區分攻擊者持久化與正常的系統管理自動化。

detecting-stuxnet-style-attacks 技能可協助防禦者偵測類 Stuxnet 的 OT 與 ICS 入侵模式，包括 PLC 邏輯竄改、感測器資料偽造、工程工作站遭入侵，以及 IT 到 OT 的橫向移動。適合用於威脅狩獵、事件初步分流與製程完整性監控，並可結合通訊協定、主機與程序層證據進行判讀。

detecting-fileless-malware-techniques 技能支援惡意程式分析工作流程，用來調查透過 PowerShell、WMI、.NET reflection、登錄檔常駐 payload 與 LOLBins 在記憶體中執行的無檔案惡意程式。適合用來把可疑警示轉成有證據支撐的初步分流、偵測構想與後續狩獵方向。