Malware Analysis

analyzing-ransomware-network-indicators 可帮助分析 Zeek `conn.log` 和 NetFlow，识别 C2 beaconing、TOR 出口、数据外传以及可疑 DNS，适用于安全审计和事件响应。

这是一个关于使用 Rekall 分析 Windows 内存镜像的指南，聚焦于提取内存证据。你可以了解安装与使用模式，查找隐藏进程、注入代码、可疑 VAD、已加载 DLL 以及网络活动，适用于数字取证场景。

detecting-process-hollowing-technique 通过关联挂起启动、内存篡改、父子进程异常和 API 证据，帮助在 Windows telemetry 中狩猎进程空洞化（T1055.012）。面向威胁狩猎、检测工程和响应人员，适合作为 Threat Hunting 工作流中实用的 detecting-process-hollowing-technique。

detecting-fileless-attacks-on-endpoints 可帮助为 Windows 终端构建内存型攻击检测，包括 PowerShell 滥用、WMI 持久化、反射式加载和进程注入。可用于安全审计、威胁狩猎和检测工程，结合 Sysmon、AMSI 和 PowerShell 日志开展分析。

analyzing-windows-amcache-artifacts 技能会解析 Windows 的 Amcache.hve 数据，用于还原程序执行痕迹、已安装软件、设备活动和驱动加载信息，适合 DFIR 和安全审计流程。它结合 AmcacheParser 和基于 regipy 的指导，支持提取取证工件、做 SHA-1 关联分析以及时间线回溯。

analyzing-powershell-script-block-logging 技能用于解析 Windows PowerShell Script Block Logging 的 Event ID 4104（来自 EVTX 文件），重建被拆分的脚本块，并标记混淆命令、编码载荷、Invoke-Expression 滥用、下载器手法以及 AMSI 绕过尝试，适合安全审计工作。

analyzing-network-traffic-of-malware 可帮助你分析来自沙箱运行或事件响应的 PCAP 和遥测数据，定位 C2、数据外传、载荷下载、DNS 隧道和检测思路。它是面向安全审计和恶意软件初筛的实用 analyzing-network-traffic-of-malware 指南。

analyzing-malicious-url-with-urlscan 帮助分析人员借助 URLScan.io 对可疑链接进行初步研判，检查重定向、截图、DOM 内容和网络请求，并将结果整理成 IOC 和清晰的安全结论。适用于钓鱼响应、URL 分析和 Security Audit 工作流。

analyzing-heap-spray-exploitation 帮助你结合 Volatility3 分析内存转储中的堆喷射利用痕迹。它可识别 NOP sled 模式、可疑的大块分配、shellcode 落点区域以及进程 VAD 证据，适用于安全审计、恶意软件分流和漏洞利用验证。

analyzing-cobalt-strike-beacon-configuration 可从 PE 文件、shellcode 和内存转储中提取并分析 Cobalt Strike beacon 配置，用于识别 C2 基础设施、sleep/jitter、User-Agent、watermark 以及 malleable profile 细节，适合安全审计、威胁狩猎和事件响应。