作者 mukul975
analyzing-windows-shellbag-artifacts 可帮助 DFIR 分析人员解读 Windows Shellbag 注册表取证痕迹,还原文件夹浏览、已删除文件夹访问、可移动介质使用以及网络共享活动,并结合 SBECmd 和 ShellBags Explorer 进行分析。它是一份面向事件响应与取证工作的实用 analyzing-windows-shellbag-artifacts 指南。
作者 mukul975
detecting-t1003-credential-dumping-with-edr 是一项面向威胁狩猎的 skill,结合 EDR、Sysmon 和 Windows 事件关联,检测 LSASS、SAM、NTDS.dit、LSA secrets 以及缓存凭据转储。可用于验证告警、梳理事件范围,并借助实用流程指导降低误报。
作者 mukul975
这是一个关于使用 Rekall 分析 Windows 内存镜像的指南,聚焦于提取内存证据。你可以了解安装与使用模式,查找隐藏进程、注入代码、可疑 VAD、已加载 DLL 以及网络活动,适用于数字取证场景。
作者 mukul975
extracting-browser-history-artifacts 是一项数字取证技能,用于从 Chrome、Firefox 和 Edge 中提取浏览器历史记录、cookie、缓存、下载记录和书签。它可将浏览器配置文件文件转化为可直接用于时间线分析的证据,并提供可重复、面向案件的工作流指引。
