OsmanDhaqane/shadow-traces-tryhackme

# Shadow Trace - TryHackMe 演练 本仓库包含我为 TryHackMe 房间 **Shadow Trace** 编写的演练。 该房间侧重于分析可疑的 Windows 二进制文件，提取失陷指标（IOC），并关联警报以识别恶意活动。调查过程包括审查 PE 元数据、收集哈希值、提取嵌入的 URL 和域名、解码混淆值，以及分析由 PowerShell 和 Chrome 触发的警报。 ## 演练 PDF [下载完整演练 PDF](./shadow-trace.pdf) ## 涵盖主题 - 静态恶意软件分析 - PE 文件分析 - SHA-256 哈希提取 - IOC 提取 - URL 和域名分析 - Base64 解码 - JavaScript 字符编码解码 - 警报关联 - SOC 分流 ## 使用工具 - PEStudio - strings.exe - CyberChef - Shadow Trace 警报仪表板 ## 总结 在本次调查中，我分析了 `windows-update.exe`，并识别出可疑指标，例如嵌入的 URL、域名、编码数据以及与网络相关的导入。随后，我审查了相关警报，以解码恶意 URL 并了解可疑活动是如何触发的。

标签：AI合规, Base64解码, CTF Walkthrough, CyberChef, DAST, DNS 反向解析, IOC提取, JavaScript解码, OpenCanary, PEStudio, PE文件分析, SHA-256, Sigma 规则, SOC分析, TryHackMe, URL分析, Windows二进制文件, 云安全监控, 云资产清单, 哈希提取, 域名分析, 威胁情报, 安全分析报告, 安全运营, 库, 应急响应, 开发者工具, 恶意软件分析, 扫描框架, 混淆解码, 网络信息收集, 网络安全, 警报关联, 逆向工程, 隐私保护, 静态分析