Jrodri5891/SOC

# SOC/DFIR 调查实验室 本仓库包含专注于数字取证与事件响应（DFIR）、恶意软件分析、内存取证和网络流量分析的实践性网络安全调查报告。这些实验室使用真实世界分析师的工作流程和行业标准工具完成，包括 Wireshark、Volatility、VirusTotal 和 Detect It Easy。 ## 包含的调查案例 ### FakeGPT — 恶意 Chrome 扩展程序分析 分析了一个旨在窃取凭证、记录键盘输入、劫持 cookie 并进行隐蔽数据外传的恶意浏览器扩展程序。调查了其 JavaScript 功能、反分析行为、AES 加密、Base64 混淆以及命令与控制通信。 ### Lockdown — 多阶段入侵分析 重建了一个完整的攻击链，涉及 IIS 漏洞利用、SMB 侦察、Web Shell 部署、反向 Shell 通信、持久化机制、内存取证，并将恶意软件归因于 Agent Tesla。调查结果使用 Wireshark、Volatility 和 VirusTotal 映射到了 MITRE ATT&CK 技术。 ## 展示的技能 * 网络流量分析 * 内存取证 * 恶意软件分析 * 反向 Shell 调查 * MITRE ATT&CK 映射 * IOC 识别 * 持久化检测 * 进程树与命令行分析 * 威胁情报关联 * SOC/DFIR 调查方法论 ## 使用的工具 * Wireshark * Volatility * VirusTotal * Detect It Easy (DiE) * CyberChef * Notepad++ * PowerShell / Git Bash 这些报告记录了每个场景的调查过程、证据收集、攻击重建和发现，同时展示了实用的 SOC 分析师和 DFIR 工作流程。

标签：AI合规, Ask搜索, C2通信, cookie劫持, CyberChef, DAST, Detect It Easy, Git Bash, IIS漏洞利用, IOC识别, IPv6, PowerShell, SecList, SEO词, SMB侦察, VirusTotal, Webshell部署, Wireshark, 入侵分析, 内存取证, 凭证盗窃, 功能关键词, 反向shell, 取证实验室, 取证报告, 句柄查看, 命令行分析, 威胁情报, 威胁情报关联, 开发者工具, 恶意扩展分析, 恶意软件分析, 技术栈, 持久性检测, 攻击重建, 数字取证, 网络安全, 网络流量分析, 自动化脚本, 自定义脚本, 调查方法, 进程分析, 键盘记录, 隐私保护