muzammilsethar/LotL-Forensics-CertUtil-Analysis

🛡️ 检测 LotL 攻击：CertUtil 取证实验室 本仓库记录了对 Living off the Land (LotL) 技术的取证调查。我模拟了使用受信任的 Windows 二进制文件 certutil.exe 进行的文件获取攻击，并追踪了其数字足迹。 🕵️ 调查步骤 攻击：使用 certutil.exe 执行了远程文件下载绕过。 挑战：在网络获取期间，标准进程日志保持静默。 解决方案：启用了 Microsoft-Windows-CAPI2/Operational 审计。 证据：捕获了事件 ID 11，揭示了针对 *.github.io 的证书验证，确认了外部连接。 🛠️ 使用工具 Windows CertUtil：用于文件获取模拟。 Event Viewer：用于 CAPI2 和安全日志分析。 Python/Scapy：下载的 Payload，用于网络嗅探。

标签：CAPI2, CertUtil, DAST, HTTPS请求, IPv6, Living off the Land, LotL, OpenCanary, PowerShell, Python, Scapy, Windows取证, 事件ID 11, 事件日志分析, 库, 应急响应, 恶意软件分析, 数字取证, 文件下载, 无后门, 知识库安全, 私有化部署, 网络信息收集, 网络检测, 自动化脚本, 逆向工具, 防御规避