Wmi

detecting-wmi-persistence 技能可帮助威胁狩猎和 DFIR 分析师，利用 Windows 遥测中的 Sysmon Event ID 19、20 和 21 发现 WMI 事件订阅持久化。可用来识别恶意的 EventFilter、EventConsumer 和 FilterToConsumerBinding 活动，验证发现，并区分攻击者持久化与正常的管理员自动化。

detecting-stuxnet-style-attacks 技能可帮助防守方检测类似 Stuxnet 的 OT 和 ICS 入侵模式，包括 PLC 逻辑篡改、伪造传感器数据、工程师工作站被入侵，以及 IT 到 OT 的横向移动。可用于威胁狩猎、事件分诊和工艺完整性监控，并结合协议、主机和进程证据进行分析。

detecting-fileless-malware-techniques 技能支持恶意软件分析工作流，用于调查通过 PowerShell、WMI、.NET reflection、注册表驻留 payload 以及 LOLBins 在内存中运行的 fileless malware。你可以借助它从可疑告警快速推进到有证据支撑的初步分诊、检测思路和后续狩猎方向。