performing-endpoint-forensics-investigation
对受损端点执行数字取证调查,包括内存获取、磁盘镜像、工件分析和时间线重建。 适用于调查安全事件、为法律诉讼收集证据或分析端点受损范围的场景。 适用于涉及端点取证、内存分析、磁盘取证或事件调查的请求。
Best use case
performing-endpoint-forensics-investigation is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
对受损端点执行数字取证调查,包括内存获取、磁盘镜像、工件分析和时间线重建。 适用于调查安全事件、为法律诉讼收集证据或分析端点受损范围的场景。 适用于涉及端点取证、内存分析、磁盘取证或事件调查的请求。
Teams using performing-endpoint-forensics-investigation should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/performing-endpoint-forensics-investigation/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How performing-endpoint-forensics-investigation Compares
| Feature / Agent | performing-endpoint-forensics-investigation | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
对受损端点执行数字取证调查,包括内存获取、磁盘镜像、工件分析和时间线重建。 适用于调查安全事件、为法律诉讼收集证据或分析端点受损范围的场景。 适用于涉及端点取证、内存分析、磁盘取证或事件调查的请求。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行端点取证调查 ## 使用场景 在以下情况下使用本技能: - 调查需要取证分析的已确认或疑似端点入侵 - 为事件响应或法律诉讼收集易失性和非易失性证据 - 分析内存转储以发现恶意软件、注入代码或凭据窃取工件 - 从端点工件(prefetch、shimcache、amcache)重建攻击者时间线 **不适用于**实时威胁狩猎(使用 EDR/SIEM)或网络取证。 ## 前置条件 - 配备分析工具的取证工作站(Volatility 3、KAPE、Autopsy、Eric Zimmerman 工具) - 磁盘镜像的写阻断器(硬件或软件) - 具有监管链文档的安全证据存储 - 内存获取工具(WinPMEM、FTK Imager、Magnet RAM Capture) - 目标端点的管理员访问权限(或物理访问) ## 操作流程 ### 步骤 1:证据保全(易失性顺序) 按从最易失到最不易失的顺序收集证据: ``` 1. 系统内存(RAM)- 最易失 2. 网络连接和路由表 3. 运行中的进程和打开的文件 4. 磁盘内容(文件系统) 5. 可移动媒体 6. 日志和备份数据 - 最不易失 ``` **内存获取**: ```powershell # WinPMEM(Windows) winpmem_mini_x64.exe memdump.raw # FTK Imager - 通过 GUI 创建内存捕获 # 文件 → 捕获内存 → 目标路径 → 捕获内存 # Linux(LiME 内核模块) sudo insmod lime.ko "path=/evidence/memory.lime format=lime" ``` **易失性数据收集**: ```powershell # 捕获运行中的进程 Get-Process | Export-Csv "evidence\processes.csv" -NoTypeInformation tasklist /v > "evidence\tasklist.txt" # 捕获网络连接 netstat -anob > "evidence\netstat.txt" Get-NetTCPConnection | Export-Csv "evidence\tcp_connections.csv" # 捕获已登录用户 query user > "evidence\logged_users.txt" # 捕获计划任务 schtasks /query /fo CSV /v > "evidence\scheduled_tasks.csv" # 捕获服务 Get-Service | Export-Csv "evidence\services.csv" # 捕获 DNS 缓存 ipconfig /displaydns > "evidence\dns_cache.txt" ``` ### 步骤 2:磁盘镜像 ```powershell # FTK Imager - 创建取证磁盘镜像 # 文件 → 创建磁盘镜像 → 物理驱动器 → E01 格式 # 始终验证镜像哈希(MD5/SHA1)与源匹配 # dd(Linux) sudo dc3dd if=/dev/sda of=/evidence/disk.dd hash=sha256 log=/evidence/imaging.log # 验证镜像完整性 sha256sum /evidence/disk.dd # 与镜像期间生成的哈希对比 ``` ### 步骤 3:使用 Volatility 3 进行内存分析 ```bash # 识别操作系统配置文件 vol -f memdump.raw windows.info # 列出运行中的进程 vol -f memdump.raw windows.pslist vol -f memdump.raw windows.pstree # 查找隐藏进程 vol -f memdump.raw windows.psscan # 分析网络连接 vol -f memdump.raw windows.netscan # 检测进程注入 vol -f memdump.raw windows.malfind # 提取命令行参数 vol -f memdump.raw windows.cmdline # 分析进程加载的 DLL vol -f memdump.raw windows.dlllist --pid 1234 # 从内存提取文件 vol -f memdump.raw windows.filescan | grep -i "suspicious" vol -f memdump.raw windows.dumpfiles --pid 1234 # 检测凭据窃取 vol -f memdump.raw windows.hashdump vol -f memdump.raw windows.lsadump # 从内存进行注册表分析 vol -f memdump.raw windows.registry.printkey --key "Software\Microsoft\Windows\CurrentVersion\Run" ``` ### 步骤 4:Windows 工件分析 ``` 关键取证工件及其工具: Prefetch 文件(C:\Windows\Prefetch\): 工具:PECmd.exe(Eric Zimmerman) 显示:带时间戳和运行次数的程序执行历史 命令:PECmd.exe -d "C:\Windows\Prefetch" --csv output\ ShimCache(AppCompatCache): 工具:AppCompatCacheParser.exe 显示:系统中存在过的程序(即使已删除) 命令:AppCompatCacheParser.exe -f SYSTEM --csv output\ AmCache(C:\Windows\appcompat\Programs\Amcache.hve): 工具:AmcacheParser.exe 显示:带 SHA1 哈希和安装时间戳的程序执行 命令:AmcacheParser.exe -f Amcache.hve --csv output\ NTFS 工件($MFT、$UsnJrnl、$LogFile): 工具:MFTECmd.exe 显示:完整文件系统时间线,包括已删除文件 命令:MFTECmd.exe -f "$MFT" --csv output\ 事件日志: 工具:EvtxECmd.exe 显示:安全、系统、PowerShell、Sysmon 事件 命令:EvtxECmd.exe -d "C:\Windows\System32\winevt\Logs" --csv output\ 注册表配置单元(SAM、SYSTEM、SOFTWARE、NTUSER.DAT): 工具:RECmd.exe 及批处理文件 显示:用户账户、服务、已安装软件、USB 历史 命令:RECmd.exe -d "C:\Windows\System32\config" --bn BatchExamples\RECmd_Batch_MC.reb --csv output\ ``` ### 步骤 5:时间线重建 ```bash # 使用 KAPE 进行自动化工件收集 kape.exe --tsource C: --tdest C:\evidence\kape_output \ --target KapeTriage --module !EZParser # 使用 plaso/log2timeline 创建超级时间线 log2timeline.py timeline.plaso disk_image.E01 psort.py -o l2tcsv timeline.plaso -w timeline.csv # 过滤事件期间附近的时间线 psort.py -o l2tcsv timeline.plaso "date > '2026-02-20' AND date < '2026-02-22'" -w filtered_timeline.csv ``` ### 步骤 6:记录发现 取证报告结构: ``` 1. 执行摘要 2. 范围和方法论 3. 证据清单(含监管链) 4. 事件时间线 5. 发现和分析 - 初始访问向量 - 持久化机制 - 横向移动 - 数据访问/泄露 6. 失陷指标(IOC) 7. 建议措施 8. 附录(工具输出、哈希、原始证据) ``` ## 关键概念 | 术语 | 定义 | |------|------| | **易失性顺序** | 从最易失(RAM)到最不易失(备份)的证据收集优先级 | | **监管链** | 从收集到呈堂的证据处理完整文档记录 | | **写阻断器** | 防止修改源证据的硬件或软件设备 | | **超级时间线** | 所有工件时间戳的综合时间顺序视图,用于事件重建 | | **Prefetch** | 记录程序执行历史的 Windows 工件 | | **ShimCache** | 跟踪端点上程序存在情况的应用程序兼容性工件 | ## 工具与系统 - **Volatility 3**:用于分析 RAM 转储的内存取证框架 - **KAPE(Kroll Artifact Parser and Extractor)**:自动化分类收集和解析 - **Eric Zimmerman 工具**:Windows 工件解析器套件(PECmd、MFTECmd、RECmd 等) - **Autopsy/Sleuth Kit**:用于文件系统分析的磁盘取证平台 - **FTK Imager**:取证镜像和内存获取工具 - **Plaso/log2timeline**:超级时间线创建框架 ## 常见误区 - **在实时系统上修改证据**:始终先镜像再分析。在实时系统上运行工具会改变时间戳和内存状态。 - **忘记监管链**:没有记录监管链的证据在法律诉讼中不可采信。 - **只分析磁盘,忽略内存**:仅在内存中的恶意软件(无文件攻击)不留下磁盘工件。始终先捕获内存。 - **未对证据进行哈希**:所有证据必须在收集时进行加密哈希以证明完整性。 - **隧道视野**:专注于单一工件而忽视时间线呈现的更广泛故事。始终构建全面的时间线。
Related Skills
performing-yara-rule-development-for-detection
通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。
performing-wireless-security-assessment-with-kismet
使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。
performing-wireless-network-penetration-test
执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。
performing-windows-artifact-analysis-with-eric-zimmerman-tools
使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。
performing-wifi-password-cracking-with-aircrack
在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。
performing-web-cache-poisoning-attack
在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。
performing-web-cache-deception-attack
通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。
performing-web-application-vulnerability-triage
使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。
performing-web-application-scanning-with-nikto
Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。
performing-web-application-penetration-test
遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。
performing-web-application-firewall-bypass
使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。
performing-vulnerability-scanning-with-nessus
使用 Tenable Nessus 执行认证和未认证漏洞扫描,识别网络基础设施、服务器和应用程序中的已知漏洞、 错误配置、默认凭据和缺失补丁。扫描器将发现与 CVE 数据库和 CVSS 评分关联,生成优先级修复指导。 适用于漏洞扫描、Nessus 评估、补丁合规检查或自动化漏洞检测等请求场景。