emilebarnard242/btl1-easter-prep-2026

# BTL1 复活节备考 2026 记录一份为期两周的集中学习证明，完成于 2026 年复活节休假期间， 作为为 Blue Team Labs 1 (BTL1) 认证考试进行的积极备考的一部分。 ## 背景 我目前正在转型进入网络安全领域， 目标岗位为 Tier 1 SOC 分析师。本仓库记录了 2026 年复活节期间完成的实战实验室工作， 涵盖 BTL1 考试六个领域中的五个， 通过 TryHackMe 房间、Immersive Labs 模块以及自建模拟调查相结合的方式完成。 现有认证：CompTIA Security+ | Splunk Core Certified User (SPLK-1001) 目标：BTL1 — 安全蓝队 | 考试计划于 2026 年 8 月举行 ## 仓库结构 | 文件夹 | 内容 | 平台 | 关键工具 | |---|---|---|---| | `01_phishing-analysis` | 钓鱼邮件 3 与 4、Greenholt Fish CTF、Snapped Phish-ing Line | TryHackMe | Wireshark、any.run、VirusTotal、MXToolbox、CyberChef | | `02_incident-response` | 事件响应：数据外传 | Immersive Labs | Wireshark、SMB/FTP 分析 | | `03_mock-investigation` | 行动海港观察 — 自建 IR 场景 | 自建 | Wireshark、binwalk、dd、exiftool、CyberChef | | `04_network-analysis` | Wireshark 系列 — 10 个实验室，涵盖 TLS、BPF、SMTP、TCPDump、显示过滤器、流提取、包捕获基础 | Immersive Labs | Wireshark、tcpdump | | `05_digital-forensics` | Autopsy、KAPE、文件 carving | TryHackMe | Autopsy、KAPE/gkape、EZViewer、binwalk、foremost、scalpel、exiftool、Okteta | | `06_threat-intelligence` | MITRE ATT&CK 导航器、OpenCTI、MISP | TryHackMe | ATT&CK 导航器、OpenCTI、MISP | ## 已完成实验室 ### 01 — 钓鱼分析 - **THM 钓鱼邮件 3** — 通过 any.run 进行沙箱分析，识别 CVE-2017-11882，调查恶意 PDF 与 XLSX - **THM 钓鱼邮件 4** — Wireshark SMTP 分析、IMF 过滤器、附件提取 - **THM Greenholt Fish CTF** — 完整钓鱼分类：邮件头、SPF/DMARC、VirusTotal、SHA256 校验 - **THM Snapped Phish-ing Line** — 凭证窃取调查、CyberChef Base64 解码、完整攻击链重建 ### 02 — 事件响应 - **IL 事件响应：数据外传** — SMB2 文件访问分析、FTP 会话重建、从包捕获中恢复凭证 ### 03 — 模拟调查 - **行动海港观察** — 完全自建的 IR 场景：C2 信标检测、User-Agent 异常识别、Base64 编码数据外传解码、磁盘镜像在 JPEG/PDF/HTML 工件中的 carving ### 04 — 网络分析 - **IL Wireshark 系列** — 10 个实验室，涵盖显示过滤器、SMTP 分析、网络调查、统计、TCPDump、BPF 语法、TLS 握手、TLS 流量解密、流/对象提取、包捕获基础，以及一项展示技能的评估 ### 05 — 数字取证 - **THM Autopsy** — 磁盘镜像分类、关键词搜索、云存储工件、已删除文件恢复、时间线分析、HTML 报告生成 - **THM KAPE** — KapeTriage 收集、!EZParser 模块处理、EZViewer 工件分析 - **THM 文件 carving** — 使用 Okteta 手动 carving、使用 foremost/scalpel 自动 carving、binwalk 签名分析、exiftool 元数据提取、dd 提取 ### 06 — 威胁情报 - **THM MITRE ATT&CK** — ATT&CK 导航器企业矩阵探索 - **THM OpenCTI** — 恶意软件画像、攻击模式映射、入侵组分析、威胁行为体调查 - **THM MISP** — 事件创建、属性标记、星系簇、分类法、OSINT 相关 ## 展示技能 - 网络流量分析与协议拆解（Wireshark、tcpdump） - 钓鱼邮件分类与沙箱引爆 - 文件 carving 与磁盘取证 - 数字工件恢复与元数据分析 - 威胁情报平台使用（MISP、OpenCTI） - MITRE ATT&CK TTP 映射 - 事件响应方法论在数据外传场景中的应用 - 为目标包捕获构造 BPF 过滤器 ## 相关链接 - [Splunk 实验室作品集](https://github.com/emilebarnard242/splunk-lab-portfolio) — BOTSv1 杀伤链调查与 STEP linux_secure sourcetype 分析 - BTL1 认证目标：2026 年 8 月

标签：2026, Autopsy, BTL1, Cloudflare, CompTIA Security+, CyberChef, DNS通配符暴力破解, Immersive Labs, KAPE, MITRE ATT&CK, Mock Investigation, OpenCTI, SPLK-1001, TryHackMe, Wireshark, 假期学习, 句柄查看, 域环境安全, 威胁情报, 安全备考, 实战实验室, 开发者工具, 数字取证, 系统分析, 网络分析, 自动化脚本, 邮件安全, 钓鱼分析