astea-b/windows-runkey-persistence-analysis

# Windows RunKey 持久化检测与技术分析 ## 项目概述 本仓库包含一份全面的技术报告和自动化检测配置，重点专注于识别注册表 RunKey 持久化机制。高级威胁和恶意软件经常利用这些方法，在 Windows 环境中维持未授权访问。 ## 商业价值与解决的问题 * **威胁：** 攻击者修改注册表运行键 (`Software\Microsoft\Windows\CurrentVersion\Run`) 以在系统重启后存活，并在后台静默执行恶意代码。 * **解决方案：** 实施高保真的 Sysmon 监控规则，结合严格的行为分析，以标记异常的持久化尝试。 * **成果：** 使安全运营中心 (SOC) 分析师能够即时拦截持久性威胁，保护关键业务基础设施免受长期合规违规和数据窃取。 ## 仓库结构 * `RunKey Persistence.xml` — 高级 Sysmon 检测基线配置。 * `Create RunKey Persistence Activity — Technical Report.md` — 深度分析、日志取证与逐步缓解指南。 ## 使用的技术 * **OS 基线：** Windows 企业版 / 服务器版 * **监控：** Microsoft Sysmon、Windows 事件日志 * **分析工具：** 注册表编辑器、PowerShell、事件查看器

标签：AI合规, AMSI绕过, Sysmon, 威胁检测, 注册表监控