tonyc4sh/windows-threat-investigation

GitHub: tonyc4sh/windows-threat-investigation

基于 Microsoft Procmon 捕获记录的 Windows 安全事件取证调查项目,完整展示攻击时间线重建、IOC 提取和高管级事件报告的蓝队调查方法论。

Stars: 0 | Forks: 0

# 使用 Procmon 进行 Windows 威胁调查 ## 概述 本代码库包含了一次独立的 Windows 安全事件取证调查,该调查基于作为网络安全技术评估一部分而提供的 Microsoft Process Monitor (Procmon) 捕获记录。 目标是重建攻击时间线、识别危害指标 (IOC)、分析攻击者行为,并生成一份适合安全经理或 CISO 阅读的高管级事件报告。 ## 展示技能 - 事件调查 - 威胁狩猎 - 进程树分析 - 时间线重建 - IOC 提取 - Windows 内部机制 - Living-off-the-Land (LOLBIN) 检测 - 高管报告 ## 调查工作流 ``` Procmon Capture │ ▼ Process Tree Analysis │ ▼ Timeline Reconstruction │ ▼ IOC Extraction │ ▼ Behaviour Analysis │ ▼ Executive Report ``` ## 代码库内容 | 文件夹 | 描述 | |---------|-------------| | **docs/** | 调查报告、攻击时间线、IOC 和经验教训 | | **screenshots/** | 支持调查结果的截图 | ## 文档 - 📄 事件调查报告 - 📅 攻击时间线 - 🎯 危害指标 (IOC) - 📚 经验教训 ## 使用工具 - Microsoft Process Monitor (Procmon) - Microsoft Sysinternals Suite ## 关键发现 调查发现了多项失陷后的活动,包括: - 基于 WMI 的远程执行 - 主机侦察 - Microsoft Defender 篡改 - 凭据转储 - PowerShell 执行策略绕过 - Living-off-the-Land (LOLBIN) 滥用 - 远程 payload 检索 - 其他后渗透活动 ## 未来改进 - 将发现与 Sysmon 遥测数据相关联 - 创建 Sigma 检测规则 - 开发 Wazuh 检测规则 - 使用 MITRE ATT&CK Navigator 映射技术 - 使用 Windows 事件日志扩展调查 ## 数据集声明 本代码库中分析的数据集源自公开发布的技术评估。 本代码库展示了我的调查方法论、文档质量和事件分析流程。本仓库**不**声明拥有原始数据集的所有权。 ## 作者 该项目是我的个人网络安全作品集的一部分,记录了我在蓝队作战、事件响应和数字取证方面的实践学习历程。
标签:AI合规, Cloudflare, MITRE ATT&CK, 库, 应急响应, 插件系统, 攻击溯源, 数字取证, 自动化脚本