omotara100/Endpoint-Forensics-Malware-Investigation

# 🕵️ Windows 端点取证与恶意软件调查 ## 📌 场景 一台 Windows 工作站因可疑的 PowerShell 活动和异常的出站连接生成了告警。 你的任务包括调查： - 初始执行 - 持久化机制 - 文件系统痕迹 - 恶意软件行为 - 入侵指标 - 攻击时间线重建 ## 🎯 目标 - 识别恶意软件如何执行 - 检测持久化技术 - 提取证物 - 分析恶意二进制文件（静态 + 动态） - 构建攻击者活动时间线 - 将发现映射到 MITRE ATT&CK ## 🖥️ 实验环境 - Windows 10/11 VM - 已安装 Sysmon - 已启用 PowerShell 日志记录 - 工具： - PowerShell - Sysinternals - strings - PEStudio (可选) ## 🔎 调查流程 1. 注册表分析 2. 预读取分析 3. 事件日志调查 4. 文件系统检查 5. 恶意软件静态分析 6. 恶意软件动态分析 7. IOC 提取 8. 时间线构建 ## 🏁 最终结果 已确认： - 基于 PowerShell 的执行 - 注册表 Run Key 持久化 - 可疑的出站网络信标 - 已提取恶意软件指标

标签：AI合规, AlienVault OTX, ATT&CK映射, DAST, DNS 反向解析, HTTPS请求, HTTP工具, IOC提取, IP 地址批量处理, PowerShell安全, SecList, Sysmon分析, Windows取证, 云安全监控, 入侵调查, 内存取证, 后渗透, 安全运营, 实验环境, 库, 应急响应, 恶意软件分析, 扫描框架, 持久化检测, 攻击溯源, 数字取证, 无线安全, 时间线重建, 样本分析, 注册表取证, 端点安全, 网络安全实验, 网络安全审计, 自动化脚本, 补丁管理, 速率限制处理, 静态分析, 项目化管理