tonyc4sh/windows-threat-investigation
GitHub: tonyc4sh/windows-threat-investigation
基于 Microsoft Procmon 捕获记录的 Windows 安全事件取证调查项目,完整展示攻击时间线重建、IOC 提取和高管级事件报告的蓝队调查方法论。
Stars: 0 | Forks: 0
# 使用 Procmon 进行 Windows 威胁调查
## 概述
本代码库包含了一次独立的 Windows 安全事件取证调查,该调查基于作为网络安全技术评估一部分而提供的 Microsoft Process Monitor (Procmon) 捕获记录。
目标是重建攻击时间线、识别危害指标 (IOC)、分析攻击者行为,并生成一份适合安全经理或 CISO 阅读的高管级事件报告。
## 展示技能
- 事件调查
- 威胁狩猎
- 进程树分析
- 时间线重建
- IOC 提取
- Windows 内部机制
- Living-off-the-Land (LOLBIN) 检测
- 高管报告
## 调查工作流
```
Procmon Capture
│
▼
Process Tree Analysis
│
▼
Timeline Reconstruction
│
▼
IOC Extraction
│
▼
Behaviour Analysis
│
▼
Executive Report
```
## 代码库内容
| 文件夹 | 描述 |
|---------|-------------|
| **docs/** | 调查报告、攻击时间线、IOC 和经验教训 |
| **screenshots/** | 支持调查结果的截图 |
## 文档
- 📄 事件调查报告
- 📅 攻击时间线
- 🎯 危害指标 (IOC)
- 📚 经验教训
## 使用工具
- Microsoft Process Monitor (Procmon)
- Microsoft Sysinternals Suite
## 关键发现
调查发现了多项失陷后的活动,包括:
- 基于 WMI 的远程执行
- 主机侦察
- Microsoft Defender 篡改
- 凭据转储
- PowerShell 执行策略绕过
- Living-off-the-Land (LOLBIN) 滥用
- 远程 payload 检索
- 其他后渗透活动
## 未来改进
- 将发现与 Sysmon 遥测数据相关联
- 创建 Sigma 检测规则
- 开发 Wazuh 检测规则
- 使用 MITRE ATT&CK Navigator 映射技术
- 使用 Windows 事件日志扩展调查
## 数据集声明
本代码库中分析的数据集源自公开发布的技术评估。
本代码库展示了我的调查方法论、文档质量和事件分析流程。本仓库**不**声明拥有原始数据集的所有权。
## 作者
该项目是我的个人网络安全作品集的一部分,记录了我在蓝队作战、事件响应和数字取证方面的实践学习历程。
标签:AI合规, Cloudflare, MITRE ATT&CK, 库, 应急响应, 插件系统, 攻击溯源, 数字取证, 自动化脚本