MrCipher-X/Live-Endpoint-Forensics

### 🛡️ 行动摘要 本仓库概述了一次主动的威胁狩猎与实时事件响应行动。通过利用 **Sysinternals Suite**（Process Explorer、TCPView），目标是识别异常进程行为，挖掘隐藏的恶意软件可执行文件，并切断受感染终端上活跃的命令与控制 (C2) 信标机制。 ### ⚙️ 战术架构（数据流与逻辑） ``` graph TD; A[Suspect Endpoint] -->|Sysinternals Deployed| B(Process Explorer); A -->|Network Monitoring| C(TCPView); B --> D{Process Analysis}; C --> E{Connection Analysis}; D -->|Path/Signature Mismatch| F[Identify Rogue Executable]; E -->|Anomalous Port Traffic| G[Detect C2 Beacon]; F --> H[Quarantine & Document IOCs]; G --> H; style A fill:#1a1a1a,stroke:#00FFFF,stroke-width:2px; style H fill:#1a1a1a,stroke:#8A2BE2,stroke-width:2px; ``` ### 🦠 威胁与缓解措施矩阵 | **威胁向量** | **失陷指标 (IOCs)** | **检测工具** | **战术缓解 / 响应** | | :--- | :--- | :--- | :--- | | **进程伪装** | 从 `C:\Users\Desktop\` 运行的伪造 `svchost.exe` | Process Explorer | 挂起进程线程，映射父子 PID，提取哈希。 | | **C2 信标** | `端口 4444` 上的未授权出站连接 | TCPView | 终止连接，记录远程 IP 地址，在防火墙进行拦截。 | | **权限提升** | 以 `SYSTEM` 权限执行的未签名二进制文件 | AutoRuns / ProcExp | 撤销权限，隔离可执行文件以进行逆向工程。 | ### 📲 数字证据板 *（注：在实时响应阶段获取的实时遥测数据和截图。）*

   

标签：C2通信检测, CCTV/网络接口发现, CSV导出, DAST, DNS 解析, IOC提取, IP 地址批量处理, PB级数据处理, Process Explorer, Sysinternals, TCPView, 主动威胁狩猎, 威胁情报, 子域名枚举, 安全运维, 实时应急响应, 开发者工具, 异常行为检测, 恶意软件分析, 数字取证, 权限提升防御, 端点取证, 系统安全, 网络安全, 自动化脚本, 蓝队实战, 进程伪装检测, 防火墙策略, 隐私保护