harshpanchalhp9-dotcom/mystery-hack-forensic-case

# Windows 8.1 网络取证调查 ## 概述 本学术小组项目是网络安全取证课程的一部分。调查重点在于分析一台被入侵的 Windows 8.1 系统，并利用数字取证技术重建攻击时间线。 ## 调查目标 - 验证取证镜像完整性 - 分析 Windows 安全日志 - 识别可疑用户活动 - 调查权限提升 - 重建攻击者行为 - 关联取证证据 ## 主要发现 - 创建并启用了一个名为 master 的可疑管理员账户。 - 将 Magnify.exe 替换为 cmd.exe，以创建辅助功能后门。 - 发现了多个可疑文件和嘲讽信息。 - 安全事件 ID (4720, 4722, 4728, 4624) 确认了未经授权的账户创建和登录活动。 - Prefetch 分析显示了管理工具和辅助功能二进制文件的执行。 ## 使用的工具与技术 - FTK Imager - Windows 事件查看器 - 7-Zip - Certutil - Windows 安全日志 - Prefetch 分析 - 数字取证技术 ## 展示的技能 - 数字取证 - 事件响应 - 日志分析 - Windows 安全调查 - 时间线重建 - 证据关联 - 网络安全调查 ## 调查流程 1. 取证镜像验证 2. 文件系统分析 3. 安全日志分析 4. 二进制完整性检查 5. Prefetch 时间线分析 6. 攻击重建 ## 结论 调查得出结论：攻击者滥用了 Windows 内置的辅助功能，将 Magnify.exe 替换为 cmd.exe，创建了未授权的管理员账户，并与受感染的系统进行了手动交互。

标签：Conpot, FTK Imager, Prefetch分析, Windows 8.1, Windows Event Viewer, Windows安全, 取证工具, 取证调查, 后门创建, 安全日志分析, 攻击时间线重建, 数字取证, 法医学分析, 特权提升, 系统入侵, 网络安全, 自动化脚本, 自动化部署, 证据关联, 账户创建, 辅助功能后门, 隐私保护