Windows 持久化机制调查手册

## 🎯 概述 本手册提供了一种结构化的方法，用于在 DFIR 调查和 CTF 场景期间**识别和分析 Windows 系统上的持久化机制**。 持久化是攻击生命周期中的关键阶段，允许攻击者在系统重启、注销和系统变更期间维持访问权限。 ## 🧠 持久化范围 1. [基于注册表的持久化](01-registry-based-persistence.md) 2. [计划任务滥用](02-scheduled-tasks-abuse.md) 3. [Windows 服务与驱动程序](03-windows-services-and-drivers.md) 4. [启动文件夹执行](04-sartup-folder-execution.md)

标签：AI合规, Conpot, DAST, IPv6, PowerShell, TGT, Windows安全, 启动项, 嗅探欺骗, 安全指南, 安全运营, 库, 应急响应, 恶意软件分析, 扫描框架, 攻击溯源, 攻防演练, 数字取证与应急响应, 权限维持, 注册表安全, 系统服务, 网络安全, 计划任务, 隐私保护, 驱动程序