eguillen-cybr/security-portfolio

# Emmanuel Guillen - 安全作品集 **南犹他大学 网络安全理学学士，2025 年** 地点：El Monte, CA | 目标职位：SOC Analyst (Tier 1) 邮箱：emmanuel.guillen.cybr@gmail.com | LinkedIn：https://linkedin.com/in/emmanuel-guillen-cybr ## 关于本作品集 本作品集包含 31 份独立的实验报告，均基于四年的实践课程和自主学习完成。每份报告均遵循相同的格式：概述、环境、包含真实命令和输出的操作指南、展示的技能以及参考引用。没有废话。没有纯理论的实验。 所有实验都经过了严格筛选，任何无法展示真正、实用安全技能的内容都已被剔除。这里展示的内容真实反映了我实际掌握的能力。 ## 技能覆盖一览 | 领域 | 工具与技术 | |---|---| | SIEM / 监控 | TheHive 5.0, Cortex, Suricata, Sysmon (自定义 XML config), Velociraptor, KAPE | | 威胁情报 | MITRE ATT&CK, TRAM, IOC 分析, TTP 映射 - Lazarus Group, BlackEnergy, GrassCall | | 网络取证 | Wireshark, NetworkMiner, PCAP 分析, 凭据提取, 文件恢复 | | 端点取证 | Volatility (pslist/malfind/cmdscan), FTK Imager, Autopsy, Talon, MAGNET RAM Capture | | 磁盘与文件取证 | FAT16/NTFS/FAT32, MFT 分析, magic byte carving, EXIF 提取, Plaso 时间线 | | 移动设备取证 | Cellebrite UFED, SQLite accounts.db, OAuth2 token 恢复 (Android + macOS) | | 恶意软件分析 | FlareVM, msfvenom, AV 规避, 静态木马分析, PuTTY 后门注入 | | 事件响应 | NIST SP 800-61r2 playbooks, CSIRT 设计, 桌面演练设计 | | 治理 | 12 领域企业安全计划 - NIST CSF, ISO 27001, GDPR, HIPAA, FISMA | | 进攻性 / 红队 | Metasploit, EternalBlue, Burp Suite, OSINT, 后渗透, Web 应用黑客 | | 脚本编写 | Bash, PowerShell, Python | ## 仓库结构 ``` security-portfolio/ ├── red-team/ # 8 writeups - offensive ops, OSINT, exploitation ├── blue-team/ # 21 writeups - detection, forensics, hardening, threat intel ├── incident-response/ # 2 writeups - IR playbooks, CSIRT design (Sovereign) ├── malware-analysis/ # 1 writeup - binary payloads, trojaning, AV evasion └── capstone/ # CIA-spec covert communications framework (RFP-CIA-073) ``` ## 精选实验报告 这些实验最能体现入职首日 SOC Analyst 的实战技能。 ### 蓝队 | 实验报告 | 展示内容 | |---|---| | [Sysmon 端点监控](blue-team/sysmon-endpoint-monitoring.md) | 部署并使用自定义 XML config 调优 Sysmon；通过 Event ID 1, 22, 23, 4624/4625 进行威胁狩猎 | | [IDPS - IPFire 上的 Suricata](blue-team/idps-suricata-ipfire.md) | 使用 emerging-scan.rules 部署 Suricata；DNS TLD 监控、受损 IP 告警、误报处理方法 | | [TheHive 案件管理](blue-team/thehive-case-management.md) | 使用 TheHive 5.0 + Cortex 分析器 (Maltiverse, TeamCymru, CyberCrime-Tracker) 进行结构化事件案件管理 | | [威胁情报分析](blue-team/threat-intelligence-analysis.md) | 将 Lazarus Group, BlackEnergy, GrassCall 的 TTP 映射到 MITRE ATT&CK；识别检测机会 | | [易失性证据收集](blue-team/volatile-evidence-collection.md) | 使用 MAGNET 进行实时内存获取；Velociraptor 分类脚本；KAPE 针对 MFT、Prefetch、SRUM、Event Logs | | [RAM 取证 - Volatility](blue-team/ram-forensics-volatility.md) | 针对内存镜像进行进程分析、恶意软件检测 (malfind)、命令历史记录和权限检查 | | [网络取证](blue-team/network-forensics.md) | 使用 Wireshark 和 NetworkMiner 进行 PCAP 分析；凭据提取；从捕获的会话中进行 file carving | ### 红队 | 实验报告 | 展示内容 | |---|---| | [Metasploit 与 EternalBlue](red-team/metasploit-eternalblue.md) | MS17-010 漏洞利用；Meterpreter 后渗透 (hashdump、键盘记录、远程 shell) | | [OSINT 与情报收集](red-team/osint-intelligence-gathering.md) | 使用 Shodan、SecurityTrails、theHarvester 进行被动侦察；CVE 交叉引用 | | [Web 应用黑客技术](red-team/web-application-hacking.md) | 通过 Burp Suite 攻击 OWASP Juice Shop；SQLi、失效的访问控制、加密失败 | ### 事件响应 | 实验报告 | 展示内容 | |---|---| | [IR Playbooks - Sovereign](incident-response/ir-playbooks-sovereign.md) | 5 个 NIST SP 800-61r2 playbooks：勒索软件、内部威胁、DDoS、数据泄露、网络钓鱼 | | [CSIRT 设计 - Sovereign](incident-response/csirt-design-sovereign.md) | 角色定义、升级矩阵、通信协议、桌面演练设计 | ## 认证 - CompTIA Security+ - 准备中（预计 2026 年 8 月） - 南犹他大学 网络安全理学学士 - 2025 年 - GPA：3.6 ## 毕业设计：隐蔽行动网络安全框架 Envision Solutions / SUU - 2025 年 4 月 设计了 Phantom，这是一款定制的端到端加密 (E2EE) 隐蔽通信应用，严格按照 CIA 外勤行动规范构建。核心组件包括： - MFA 堆栈：PIN + 生物识别 + CAC，结合内部 PKI/CA 和 Titan M2 硬件密钥存储 - 抗量子加密：FIPS 203 / ML-KEM / CRYSTALS-Kyber，用于防御“现在窃取，以后解密”攻击 - 反检测：域前置、协议伪装、时间混淆、LSB 隐写术、自治掩护流量 - NIST SP 800-61 IR 协议、FIPS 140-3/DoD 合规性，以及 450 万美元的分阶段部署预算 所有实验报告均使用真实的工具、真实的输出和真实的方法论。无任何模拟截图。

标签：AI合规, Metaprompt, Web报告查看器, XXE攻击, 威胁情报, 安全运营中心, 实验报告, 应用安全, 开发者工具, 数字取证, 数据展示, 数据泄露, 红队, 网络安全, 网络映射, 自动化脚本, 逆向工具, 隐私保护