Windows

analyzing-windows-shellbag-artifacts 可帮助 DFIR 分析人员解读 Windows Shellbag 注册表取证痕迹，还原文件夹浏览、已删除文件夹访问、可移动介质使用以及网络共享活动，并结合 SBECmd 和 ShellBags Explorer 进行分析。它是一份面向事件响应与取证工作的实用 analyzing-windows-shellbag-artifacts 指南。

analyzing-usb-device-connection-history 可帮助在 Windows 上结合注册表 hive、事件日志和 setupapi.dev.log 调查 USB 设备连接历史，适用于数字取证、内部威胁排查和事件响应。它支持时间线重建、设备关联以及可移动介质证据分析。

configuring-host-based-intrusion-detection 指南：使用 Wazuh、OSSEC 或 AIDE 搭建 HIDS，用于监控文件完整性、系统变更，以及面向合规的终端安全，适配 Security Audit 工作流。

使用 windows-vm 技能在 Docker 中借助 KVM 加速创建、管理并通过 SSH 连接到无头的 Windows 11 虚拟机。它适合桌面自动化、Windows 应用安装，以及需要真实 Windows 环境但不想手动使用 RDP 的可重复 agent 工作流。

analyzing-malware-persistence-with-autoruns 是一个面向恶意软件分析的 Sysinternals Autoruns 技能。它帮助你用可重复的工作流检查 Windows 持久化点，包括 Run 键、服务、计划任务、Winlogon、驱动和 WMI，并结合 CSV 导出、可疑项审查和可直接写进报告的结论，完成分析。

extracting-windows-event-logs-artifacts 可帮助你提取、解析并分析 Windows Event Logs（EVTX），用于数字取证、事件响应和威胁狩猎。它支持对登录、进程创建、服务安装、计划任务、权限变更和日志清除等事件进行结构化审查，并可结合 Chainsaw、Hayabusa 和 EvtxECmd 使用。

detecting-wmi-persistence 技能可帮助威胁狩猎和 DFIR 分析师，利用 Windows 遥测中的 Sysmon Event ID 19、20 和 21 发现 WMI 事件订阅持久化。可用来识别恶意的 EventFilter、EventConsumer 和 FilterToConsumerBinding 活动，验证发现，并区分攻击者持久化与正常的管理员自动化。

detecting-process-hollowing-technique 通过关联挂起启动、内存篡改、父子进程异常和 API 证据，帮助在 Windows telemetry 中狩猎进程空洞化（T1055.012）。面向威胁狩猎、检测工程和响应人员，适合作为 Threat Hunting 工作流中实用的 detecting-process-hollowing-technique。

analyzing-memory-dumps-with-volatility 是一个用于 Volatility 3 的内存取证技能，适合在 Windows、Linux 或 macOS 的 RAM dump 中进行恶意软件初筛、隐藏进程、注入、网络活动和凭证分析。当你需要一份可重复执行的 analyzing-memory-dumps-with-volatility 指南，用于事件响应和恶意软件分析时，它会很有用。

detecting-lateral-movement-in-network 可利用 Windows 事件日志、Zeek 遥测、SMB、RDP 和 SIEM 关联，帮助发现企业网络中被入侵后的横向移动。它适用于威胁狩猎、事件响应，以及面向 Security Audit 审查的 detecting-lateral-movement-in-network，提供可落地的检测工作流。

deploying-osquery-for-endpoint-monitoring 指南，帮助你部署和配置 osquery，实现终端可视化、全域监控以及基于 SQL 的威胁狩猎。可用于规划安装、阅读工作流和 API 参考，并将定时查询、日志采集和集中化审查落地到 Windows、macOS 和 Linux 终端上。

deploying-edr-agent-with-crowdstrike 可帮助规划、安装并验证 CrowdStrike Falcon sensor 在 Windows、macOS 和 Linux 终端上的部署。若你需要安装指引、策略配置、遥测接入 SIEM，以及 Incident Response 准备工作，可使用这个 deploying-edr-agent-with-crowdstrike skill。

面向 Microsoft Defender for Endpoint 加固的 configuring-windows-defender-advanced-settings 技能。涵盖 ASR 规则、受控文件夹访问、网络防护、漏洞利用防护、部署规划，以及面向安全工程师、IT 管理员和 Security Audit 工作流的先审计后上线指导。

analyzing-windows-registry-for-artifacts 可帮助分析人员从 Windows Registry hive 中提取证据，用于识别用户活动、已安装软件、自动运行项、USB 历史和入侵迹象，支持事件响应或 Security Audit 工作流。

analyzing-windows-prefetch-with-python 使用 windowsprefetch 解析 Windows Prefetch（.pf）文件，重建程序执行历史，识别重命名或伪装的二进制文件，并支持事件分诊与恶意软件分析。

analyzing-windows-event-logs-in-splunk skill 可帮助 SOC 分析师在 Splunk 中调查 Windows Security、System 和 Sysmon 日志，识别认证攻击、权限提升、持久化和横向移动。它适用于事件初判、检测工程和时间线分析，并提供映射好的 SPL 模式与 event ID 指引。

analyzing-windows-amcache-artifacts 技能会解析 Windows 的 Amcache.hve 数据，用于还原程序执行痕迹、已安装软件、设备活动和驱动加载信息，适合 DFIR 和安全审计流程。它结合 AmcacheParser 和基于 regipy 的指导，支持提取取证工件、做 SHA-1 关联分析以及时间线回溯。

analyzing-powershell-empire-artifacts 技能帮助安全审计团队借助 Script Block Logging、Base64 启动器特征、stager IOC、模块签名和检测参考，在 Windows 日志中识别 PowerShell Empire 相关痕迹，并用于初步研判和规则编写。

analyzing-powershell-script-block-logging 技能用于解析 Windows PowerShell Script Block Logging 的 Event ID 4104（来自 EVTX 文件），重建被拆分的脚本块，并标记混淆命令、编码载荷、Invoke-Expression 滥用、下载器手法以及 AMSI 绕过尝试，适合安全审计工作。

winui-app 技能可帮助你使用 C# 和 Windows App SDK 启动、构建并排查 WinUI 3 桌面应用。适用于环境准备、新应用初始化、Shell 与导航方案选择、XAML 控件、主题、可访问性、部署，以及面向 Frontend Development 的启动修复工作流。

screenshot 技能可在你需要 OS 级图片而不是仅限浏览器的截图时，捕获整屏、应用窗口或像素区域。它适用于 Workflow Automation 中的截图使用场景，包含保存位置规则、macOS 权限处理，以及清晰的安装指引，帮助实现稳定可靠的桌面截图。