stardorri/ramnit-endpoint-forensics-lab

# Ramnit 端点取证实验室 ## 概述 本仓库记录了笔者使用 **Volatility 3** 和威胁情报分析对 CyberDefenders **Ramnit** 实验室进行的调查过程。 调查目标是分析 Windows 内存转储文件，识别恶意活动，提取入侵指标（IOC），并关联外部情报源发现的线索。 ## 主要发现 - 识别出伪装为 Chrome 安装程序的恶意进程 - 观察到与可疑 IP 的出站通信 - 关联了恶意软件哈希和域名指标 - 通过内存分析确认了恶意工件 ## 实验室信息 | 类别 | 值 | |---|---| | 平台 | CyberDefenders | | 类别 | 端点取证 | | 难度 | 简单 | | 使用工具 | Volatility 3, VirusTotal, PowerShell | | MITRE ATT&CK | 执行、防御规避、命令与控制 | # 调查目标 - 分析 Windows 内存转储 - 识别可疑进程 - 调查命令行执行 - 提取网络指标 - 关联恶意软件哈希 - 像安全运营中心（SOC）分析师一样记录发现 ## 使用的命令 ``` python vol.py -f $mem windows.info python vol.py -f $mem windows.cmdline python vol.py -f $mem windows.netscan python vol.py -f $mem windows.filescan ``` ## 环境设置     # 免责声明 本仓库仅用于教育和防御性网络安全目的。 调查是在 CyberDefenders 提供的安全实验室环境中进行的。

标签：AI合规, Ask搜索, DAST, IPv6, MITRE ATT&CK映射, PowerShell, Ramnit, SecList, SOC分析, VirusTotal, Volatility 3, Windows内存分析, Windows 调试器, 内存取证, 命令与控制, 命令行执行, 哈希关联, 威胁情报, 安全实验室, 开发者工具, 恶意软件分析, 私有化部署, 端点取证, 网络IOC, 进程检测, 逆向工具, 防御规避