数字取证

detecting-lateral-movement-with-zeek 是一项基于 Zeek 的网络安全技能，适用于威胁狩猎和事件响应。它可借助 Zeek 日志（如 conn.log、smb_mapping.log、smb_files.log、dce_rpc.log、ntlm.log 和 kerberos.log）来检测 SMB 管理共享访问、DCE/RPC 服务创建、NTLM spray、Kerberos 异常以及可疑的内部传输行为。

analyzing-windows-shellbag-artifacts 可帮助 DFIR 分析人员解读 Windows Shellbag 注册表取证痕迹，还原文件夹浏览、已删除文件夹访问、可移动介质使用以及网络共享活动，并结合 SBECmd 和 ShellBags Explorer 进行分析。它是一份面向事件响应与取证工作的实用 analyzing-windows-shellbag-artifacts 指南。

analyzing-android-malware-with-apktool 是一项面向 Android APK 恶意软件的静态分析技能。它结合 apktool、jadx 和 androguard，用于解包应用、检查 manifest 和权限、还原接近源码的代码，并提取可疑 API 和 IOCs，服务于恶意软件分析。

detecting-rootkit-activity 是一项 Malware Analysis 技能，用于发现 rootkit 迹象，例如隐藏进程、被 hook 的系统调用、被篡改的内核结构、隐藏模块以及隐蔽的网络痕迹。它通过交叉视图比对和完整性检查，帮助在标准工具结果不一致时验证可疑主机。

analyzing-usb-device-connection-history 可帮助在 Windows 上结合注册表 hive、事件日志和 setupapi.dev.log 调查 USB 设备连接历史，适用于数字取证、内部威胁排查和事件响应。它支持时间线重建、设备关联以及可移动介质证据分析。

analyzing-browser-forensics-with-hindsight 帮助数字取证团队使用 Hindsight 分析 Chromium 浏览器痕迹，包括历史记录、下载、Cookie、自动填充、书签、已保存凭据元数据、缓存和扩展程序。可用于还原 Web 活动、查看时间线，并调查 Chrome、Edge、Brave 和 Opera 配置文件。

analyzing-bootkit-and-rootkit-samples 是一款用于分析 MBR、VBR、UEFI 和 rootkit 的恶意软件分析技能。可用于检查引导扇区、固件模块以及反 rootkit 迹象，适合在恶意入侵持续滞留于 OS 层以下时进行排查。它适合需要实用指南、清晰流程和基于证据的 Malware Analysis 分诊的分析人员。

building-incident-timeline-with-timesketch 帮助 DFIR 团队在 Timesketch 中构建协作式事件时间线，通过导入 Plaso、CSV 或 JSONL 证据，统一时间戳，关联事件，并记录攻击链，支持事件分诊和报告输出。

analyzing-malware-persistence-with-autoruns 是一个面向恶意软件分析的 Sysinternals Autoruns 技能。它帮助你用可重复的工作流检查 Windows 持久化点，包括 Run 键、服务、计划任务、Winlogon、驱动和 WMI，并结合 CSV 导出、可疑项审查和可直接写进报告的结论，完成分析。

hunting-advanced-persistent-threats 是一项威胁狩猎技能，用于在终端、网络和内存遥测中检测 APT 式活动。它帮助分析师构建基于假设的狩猎流程，将发现映射到 MITRE ATT&CK，并把威胁情报转化为可执行的查询和调查步骤，而不是零散的临时搜索。

extracting-windows-event-logs-artifacts 可帮助你提取、解析并分析 Windows Event Logs（EVTX），用于数字取证、事件响应和威胁狩猎。它支持对登录、进程创建、服务安装、计划任务、权限变更和日志清除等事件进行结构化审查，并可结合 Chainsaw、Hayabusa 和 EvtxECmd 使用。

这是一个关于使用 Rekall 分析 Windows 内存镜像的指南，聚焦于提取内存证据。你可以了解安装与使用模式，查找隐藏进程、注入代码、可疑 VAD、已加载 DLL 以及网络活动，适用于数字取证场景。

extracting-credentials-from-memory-dump 这个技能帮助你使用 Volatility 3 和 pypykatz 工作流分析 Windows 内存转储，提取 NTLM 哈希、LSA secrets、Kerberos 材料和 token。它适用于数字取证和事件响应场景，在你需要从有效转储中获得可作为证据的结果、评估账户影响并给出修复建议时尤其有用。

面向恶意软件分析的 extracting-iocs-from-malware-samples 技能指南：从样本中提取哈希、IP、域名、URL、主机工件和验证线索，用于威胁情报与检测。

extracting-config-from-agent-tesla-rat 技能，面向恶意代码分析：提取 Agent Tesla .NET 配置、SMTP/FTP/Telegram 凭据、键盘记录器设置和 C2 端点，并提供可重复的工作流指引。

extracting-browser-history-artifacts 是一项数字取证技能，用于从 Chrome、Firefox 和 Edge 中提取浏览器历史记录、cookie、缓存、下载记录和书签。它可将浏览器配置文件文件转化为可直接用于时间线分析的证据，并提供可重复、面向案件的工作流指引。

eradicating-malware-from-infected-systems 是一项面向网络安全事件响应的技能，用于在隔离完成后清除恶意软件、后门和持久化机制。它提供工作流程指导、参考文件，以及用于 Windows 和 Linux 清理、凭据轮换、根因修复和验证的脚本。

detecting-wmi-persistence 技能可帮助威胁狩猎和 DFIR 分析师，利用 Windows 遥测中的 Sysmon Event ID 19、20 和 21 发现 WMI 事件订阅持久化。可用来识别恶意的 EventFilter、EventConsumer 和 FilterToConsumerBinding 活动，验证发现，并区分攻击者持久化与正常的管理员自动化。

detecting-stuxnet-style-attacks 技能可帮助防守方检测类似 Stuxnet 的 OT 和 ICS 入侵模式，包括 PLC 逻辑篡改、伪造传感器数据、工程师工作站被入侵，以及 IT 到 OT 的横向移动。可用于威胁狩猎、事件分诊和工艺完整性监控，并结合协议、主机和进程证据进行分析。

detecting-process-injection-techniques 可帮助分析可疑的内存驻留行为、验证 EDR 告警，并识别进程空洞化、APC 注入、线程劫持、反射式加载以及传统 DLL 注入，适用于安全审计和恶意软件分流。

detecting-arp-poisoning-in-network-traffic 可帮助你使用 ARPWatch、Dynamic ARP Inspection、Wireshark 和 Python 检查，在实时流量或 PCAP 中检测 ARP 欺骗。适用于事件响应、SOC 分诊，以及对 IP 到 MAC 变化、免费 ARP 和 MITM 指标的可重复分析。

analyzing-outlook-pst-for-email-forensics 是一项数字取证技能，用于检查 Outlook PST 和 OST 文件中的邮件内容、邮件头、附件、已删除项目、时间戳和元数据。它支持电子邮件证据审查、时间线重建，以及适用于事件响应和法律案件的可辩护调查流程。

analyzing-packed-malware-with-upx-unpacker 是一款恶意软件分析技能，用于识别被 UPX 加壳的样本、处理被修改的 UPX 头部，并恢复原始可执行文件以便在 Ghidra 或 IDA 中进行静态审查。当 `upx -d` 失败，或你需要更快完成 UPX 加壳检查和解包流程时，可以使用它。

analyzing-network-traffic-for-incidents 帮助事件响应人员分析 PCAP、流日志和数据包捕获内容，以确认 C2、横向移动、数据外传和利用尝试。专为 Incident Response 场景下的 analyzing-network-traffic-for-incidents 设计，结合 Wireshark、Zeek 和类 NetFlow 调查方法使用。