取证

analyzing-windows-shellbag-artifacts 可帮助 DFIR 分析人员解读 Windows Shellbag 注册表取证痕迹，还原文件夹浏览、已删除文件夹访问、可移动介质使用以及网络共享活动，并结合 SBECmd 和 ShellBags Explorer 进行分析。它是一份面向事件响应与取证工作的实用 analyzing-windows-shellbag-artifacts 指南。

analyzing-usb-device-connection-history 可帮助在 Windows 上结合注册表 hive、事件日志和 setupapi.dev.log 调查 USB 设备连接历史，适用于数字取证、内部威胁排查和事件响应。它支持时间线重建、设备关联以及可移动介质证据分析。

analyzing-browser-forensics-with-hindsight 帮助数字取证团队使用 Hindsight 分析 Chromium 浏览器痕迹，包括历史记录、下载、Cookie、自动填充、书签、已保存凭据元数据、缓存和扩展程序。可用于还原 Web 活动、查看时间线，并调查 Chrome、Edge、Brave 和 Opera 配置文件。

analyzing-bootkit-and-rootkit-samples 是一款用于分析 MBR、VBR、UEFI 和 rootkit 的恶意软件分析技能。可用于检查引导扇区、固件模块以及反 rootkit 迹象，适合在恶意入侵持续滞留于 OS 层以下时进行排查。它适合需要实用指南、清晰流程和基于证据的 Malware Analysis 分诊的分析人员。

building-incident-timeline-with-timesketch 帮助 DFIR 团队在 Timesketch 中构建协作式事件时间线，通过导入 Plaso、CSV 或 JSONL 证据，统一时间戳，关联事件，并记录攻击链，支持事件分诊和报告输出。

analyzing-supply-chain-malware-artifacts 是一项用于分析恶意软件的技能，专门用于追踪被植入木马的更新、被投毒的依赖项以及构建流水线篡改。可用它来对比可信与不可信工件、提取 IOC、评估受影响范围，并减少猜测地输出调查结果。

analyzing-ransomware-payment-wallets 是一项只读的区块链取证技能，用于追踪勒索软件支付钱包、沿资金流向分析，并对相关地址进行聚类，以支持安全审计和事件响应。适用于你手头有 BTC 地址、交易哈希或可疑钱包，并需要有证据支撑的归因辅助时。

用于恶意软件分析的 analyzing-ransomware-encryption-mechanisms 技能，重点识别勒索软件的加密方式、密钥处理和解密可行性。可用来检查 AES、RSA、ChaCha20、混合方案以及可能支持恢复的实现缺陷。

analyzing-ransomware-leak-site-intelligence 可帮助监控勒索软件数据泄露站点，提取受害者与团伙信号，并生成结构化威胁情报，用于事件响应、行业风险研判和对手追踪。

extracting-windows-event-logs-artifacts 可帮助你提取、解析并分析 Windows Event Logs（EVTX），用于数字取证、事件响应和威胁狩猎。它支持对登录、进程创建、服务安装、计划任务、权限变更和日志清除等事件进行结构化审查，并可结合 Chainsaw、Hayabusa 和 EvtxECmd 使用。

这是一个关于使用 Rekall 分析 Windows 内存镜像的指南，聚焦于提取内存证据。你可以了解安装与使用模式，查找隐藏进程、注入代码、可疑 VAD、已加载 DLL 以及网络活动，适用于数字取证场景。

extracting-credentials-from-memory-dump 这个技能帮助你使用 Volatility 3 和 pypykatz 工作流分析 Windows 内存转储，提取 NTLM 哈希、LSA secrets、Kerberos 材料和 token。它适用于数字取证和事件响应场景，在你需要从有效转储中获得可作为证据的结果、评估账户影响并给出修复建议时尤其有用。

extracting-browser-history-artifacts 是一项数字取证技能，用于从 Chrome、Firefox 和 Edge 中提取浏览器历史记录、cookie、缓存、下载记录和书签。它可将浏览器配置文件文件转化为可直接用于时间线分析的证据，并提供可重复、面向案件的工作流指引。

eradicating-malware-from-infected-systems 是一项面向网络安全事件响应的技能，用于在隔离完成后清除恶意软件、后门和持久化机制。它提供工作流程指导、参考文件，以及用于 Windows 和 Linux 清理、凭据轮换、根因修复和验证的脚本。

analyzing-linux-kernel-rootkits 可帮助 DFIR 和威胁狩猎流程通过 Volatility3 的 cross-view 检查、rkhunter 扫描，以及 /proc 与 /sys 对比分析，发现隐藏模块、被劫持的系统调用和被篡改的内核结构。它是一个面向取证初筛的实用 analyzing-linux-kernel-rootkits 指南。

analyzing-linux-elf-malware 可帮助分析可疑的 Linux ELF 二进制文件，用于恶意软件分析，涵盖架构检查、字符串、导入项、静态初筛，以及对僵尸网络、挖矿程序、rootkit、勒索软件和容器威胁的早期识别。

conducting-memory-forensics-with-volatility 可帮助你使用 Volatility 3 分析 RAM 转储，查找注入代码、可疑进程、网络连接、凭据窃取以及隐藏的内核活动。它是一个面向数字取证与事件响应分诊的实用 conducting-memory-forensics-with-volatility 技能。

conducting-malware-incident-response 可帮助 IR 团队分诊疑似恶意软件，确认是否感染，评估传播范围，隔离受影响端点，并支持清除与恢复。它面向 Incident Response 工作流中的 conducting-malware-incident-response，提供有证据支撑的步骤、基于遥测的决策，以及实用的遏制指导。

conducting-cloud-incident-response 是一款面向 AWS、Azure 和 GCP 的云事件响应技能。它聚焦于基于身份的遏制、日志审查、资源隔离和取证证据采集。适用于可疑 API 活动、访问密钥泄露或云上工作负载被入侵等场景，当你需要一份实用的 conducting-cloud-incident-response 指南时尤其合适。

analyzing-windows-registry-for-artifacts 可帮助分析人员从 Windows Registry hive 中提取证据，用于识别用户活动、已安装软件、自动运行项、USB 历史和入侵迹象，支持事件响应或 Security Audit 工作流。

analyzing-windows-amcache-artifacts 技能会解析 Windows 的 Amcache.hve 数据，用于还原程序执行痕迹、已安装软件、设备活动和驱动加载信息，适合 DFIR 和安全审计流程。它结合 AmcacheParser 和基于 regipy 的指导，支持提取取证工件、做 SHA-1 关联分析以及时间线回溯。

analyzing-uefi-bootkit-persistence 用于调查 UEFI 级持久化，包括 SPI flash 植入、ESP 篡改、Secure Boot 绕过以及可疑的 UEFI 变量变更。它面向固件初筛、事件响应，以及用于 Security Audit 的 analyzing-uefi-bootkit-persistence 分析，提供实用、以证据为导向的指导。

analyzing-powershell-empire-artifacts 技能帮助安全审计团队借助 Script Block Logging、Base64 启动器特征、stager IOC、模块签名和检测参考，在 Windows 日志中识别 PowerShell Empire 相关痕迹，并用于初步研判和规则编写。

analyzing-powershell-script-block-logging 技能用于解析 Windows PowerShell Script Block Logging 的 Event ID 4104（来自 EVTX 文件），重建被拆分的脚本块，并标记混淆命令、编码载荷、Invoke-Expression 滥用、下载器手法以及 AMSI 绕过尝试，适合安全审计工作。