OsmanDhaqane/REvil-Corp-TryHackMe-Writeup

# REvil Corp - TryHackMe Writeup 本仓库包含了我为 TryHackMe 房间 **REvil Corp** 编写的 writeup。 在这个房间中，我使用 **Redline** 调查了一台感染了勒索软件的 Windows 主机。场景设定为一名用户报告文件被重命名为不熟悉的扩展名，这促使我们对文件系统痕迹、浏览器历史记录、时间线事件和恶意软件特征进行了基于主机的调查。 ## 房间信息 - 平台：TryHackMe - 房间：REvil Corp - 分类：Incident Response / Digital Forensics - 使用工具：Redline ## 调查摘要 调查的重点是识别受感染的用户、恶意可执行文件、下载来源、勒索软件扩展名、勒索说明、更改的壁纸以及恶意软件家族名称。 在分析过程中，我使用 Redline 审查了： - 系统信息 - 用户账户 - 文件系统痕迹 - 文件下载历史记录 - 浏览器 URL 历史记录 - 时间线事件 - 文件哈希 该恶意软件与勒索软件家族名称 **REvil**、**Sodin** 和 **Sodinokibi** 相关联。 ## 实践的核心技能 - Redline 主机调查 - 勒索软件痕迹分析 - 文件系统审查 - 时间线分析 - 浏览器历史记录调查 - 基于哈希的恶意软件查询 - Incident Response 文档记录 ## Writeup 完整的 writeup 以 PDF 格式提供： [REvil-Corp-TryHackMe-Writeup.pdf](./REvil-Corp-TryHackMe-Writeup.pdf) ## 免责声明 本 writeup 仅用于教育目的。该调查是在受控的 TryHackMe 实验室环境中完成的。

标签：DAST, Redline, 勒索软件, 实验报告, 库, 应急响应, 恶意软件分析, 数字取证, 自动化脚本