Blednica/DeadWraith-POC-

DeadWraith-POC ⚠️ 研究项目 本仓库包含与现代恶意软件和入侵攻击活动中常见的攻陷后技术相关的逆向工程笔记、行为分析以及概念验证研究。 该项目在隔离的实验室环境中开发，旨在用于教育、防御安全、DFIR 和威胁研究目的。 不包含任何实际部署、未经授权的访问或现实世界中的恶意使用意图。 ⸻ 项目概述 DeadWraith-POC 探讨了攻击者如何在初始攻陷后建立持久化、收集主机信息、访问浏览器 artifacts 以及维持长期访问。 主要目的是了解： * 持久化机制 * 凭据访问技术 * 收集技术 * 主机侦察行为 * 检测机会 * DFIR artifacts * 威胁狩猎指标 ⸻ 研究领域 持久化分析 研究了公开威胁情报报告中通常记录的几种持久化技术，包括： * 基于注册表的 autoruns * 启动文件夹执行 * 计划任务持久化 * 基于 service 的持久化 * WMI 事件订阅 研究重点： * Artifact 生成 * 注册表修改 * 事件日志活动 * 检测机会 * 持久化移除程序 ⸻ 浏览器 Artifact 研究 探讨了现代浏览器如何存储： * 会话信息 * 身份验证 artifacts * 历史数据库 * Cookie 存储 * Local State 加密元数据 研究重点： * 浏览器取证 artifacts * 凭据保护机制 * DPAPI 交互 * 应急响应考量 ⸻ 主机收集技术 记录了涉及以下内容的攻陷后常见收集行为： * 用户文档 * 截图 * 剪贴板数据 * 系统清单 * 网络配置 * 浏览器配置文件 * 远程访问 artifacts 研究重点： * 证据位置 * 检测遥测数据 * 日志记录机会 * 应急响应工作流 ⸻ 检测机会 该项目将观察到的行为映射到： * Windows 事件日志 * Sysmon 遥测数据 * 注册表监控 * 文件系统审计 * EDR 检测 * 网络监控 在适用的地方记录了潜在的 MITRE ATT&CK 映射。 ⸻ 目标受众 * DFIR 分析师 * SOC 分析师 * 威胁猎人 * 恶意软件研究员 * 安全专业学生 * 应急响应人员 ⸻ 免责声明 本仓库仅出于研究、教育和防御安全目的而存在。 所有测试均在受控环境中进行。用户有责任遵守所有适用的法律、法规和组织政策。

标签：DAST, HTTP工具, 云资产清单, 威胁情报, 客户端加密, 库, 应急响应, 开发者工具, 恶意软件分析, 数据包嗅探, 无线安全, 逆向工程