poojanoochila/malware-persistence-analysis

# SOC事件：AutoHotkey持久化恶意软件调查 ## 概述 本仓库记录了一起涉及Windows系统上基于脚本的未授权持久化机制的真实安全事件。调查发现并移除了一个利用AutoHotkey和Windows脚本的多阶段执行链。 ## 主要发现 - 未授权的AutoHotkey执行 - Public目录中的恶意脚本 - 多阶段有效载荷（.vbs → .bat → .exe） - 标准启动项之外的持久化机制 ## 亮点 - 通过命令行分析识别执行路径 - 检测到对 `C:\Users\Public` 目录的滥用 - 通过任务计划程序和注册表清理移除持久化机制 ## 完整报告 参见：[事件报告](incident_report.md) ## 证据 截图和分析资料可在 `/evidence` 目录下找到。 ## 展示的技能 - 威胁检测 - 进程分析 - 持久化机制识别 - 事件响应与处置 - 基础恶意软件分析 ## 🧠 备注 本调查在个人系统上进行，旨在分析现实世界的持久化技术。 ## 🏷️ 标签 `SOC` `DFIR` `网络安全` `恶意软件分析` `蓝队`

标签：AMSI绕过, AutoHotkey, Conpot, DAST, SOC案例, Windows安全, Windows脚本, 任务计划程序, 修复, 多阶段载荷, 威胁检测, 安全运营中心, 恶意软件分析, 恶意软件调查, 持久化恶意软件, 数字取证与事件响应, 注册表清理, 网络安全, 网络映射, 脚本执行, 脚本持久化, 进程分析, 速率限制, 隐私保护