Dfir

analyzing-windows-shellbag-artifacts 可帮助 DFIR 分析人员解读 Windows Shellbag 注册表取证痕迹，还原文件夹浏览、已删除文件夹访问、可移动介质使用以及网络共享活动，并结合 SBECmd 和 ShellBags Explorer 进行分析。它是一份面向事件响应与取证工作的实用 analyzing-windows-shellbag-artifacts 指南。

building-incident-timeline-with-timesketch 帮助 DFIR 团队在 Timesketch 中构建协作式事件时间线，通过导入 Plaso、CSV 或 JSONL 证据，统一时间戳，关联事件，并记录攻击链，支持事件分诊和报告输出。

eradicating-malware-from-infected-systems 是一项面向网络安全事件响应的技能，用于在隔离完成后清除恶意软件、后门和持久化机制。它提供工作流程指导、参考文件，以及用于 Windows 和 Linux 清理、凭据轮换、根因修复和验证的脚本。

detecting-wmi-persistence 技能可帮助威胁狩猎和 DFIR 分析师，利用 Windows 遥测中的 Sysmon Event ID 19、20 和 21 发现 WMI 事件订阅持久化。可用来识别恶意的 EventFilter、EventConsumer 和 FilterToConsumerBinding 活动，验证发现，并区分攻击者持久化与正常的管理员自动化。

analyzing-malicious-pdf-with-peepdf 是一项面向可疑 PDF 的静态恶意软件分析技能。可使用 peepdf、pdfid 和 pdf-parser 对钓鱼附件进行初步研判，检查对象，提取内嵌 JavaScript 或 shellcode，并在不执行文件的情况下安全审查可疑流。

conducting-memory-forensics-with-volatility 可帮助你使用 Volatility 3 分析 RAM 转储，查找注入代码、可疑进程、网络连接、凭据窃取以及隐藏的内核活动。它是一个面向数字取证与事件响应分诊的实用 conducting-memory-forensics-with-volatility 技能。

analyzing-windows-prefetch-with-python 使用 windowsprefetch 解析 Windows Prefetch（.pf）文件，重建程序执行历史，识别重命名或伪装的二进制文件，并支持事件分诊与恶意软件分析。

analyzing-windows-amcache-artifacts 技能会解析 Windows 的 Amcache.hve 数据，用于还原程序执行痕迹、已安装软件、设备活动和驱动加载信息，适合 DFIR 和安全审计流程。它结合 AmcacheParser 和基于 regipy 的指导，支持提取取证工件、做 SHA-1 关联分析以及时间线回溯。

analyzing-mft-for-deleted-file-recovery 可通过分析 NTFS $MFT 记录、$LogFile、$UsnJrnl 和 MFT slack space，帮助恢复已删除文件的元数据，以及可能的路径或内容证据。面向 DFIR 和 Security Audit 工作流，配合 MFTECmd、analyzeMFT 和 X-Ways Forensics 使用。