performing-endpoint-forensics-investigation

对受损端点执行数字取证调查,包括内存获取、磁盘镜像、工件分析和时间线重建。 适用于调查安全事件、为法律诉讼收集证据或分析端点受损范围的场景。 适用于涉及端点取证、内存分析、磁盘取证或事件调查的请求。

9 stars

Best use case

performing-endpoint-forensics-investigation is best used when you need a repeatable AI agent workflow instead of a one-off prompt.

对受损端点执行数字取证调查,包括内存获取、磁盘镜像、工件分析和时间线重建。 适用于调查安全事件、为法律诉讼收集证据或分析端点受损范围的场景。 适用于涉及端点取证、内存分析、磁盘取证或事件调查的请求。

Teams using performing-endpoint-forensics-investigation should expect a more consistent output, faster repeated execution, less prompt rewriting.

When to use this skill

  • You want a reusable workflow that can be run more than once with consistent structure.

When not to use this skill

  • You only need a quick one-off answer and do not need a reusable workflow.
  • You cannot install or maintain the underlying files, dependencies, or repository context.

Installation

Claude Code / Cursor / Codex

$curl -o ~/.claude/skills/performing-endpoint-forensics-investigation/SKILL.md --create-dirs "https://raw.githubusercontent.com/killvxk/cybersecurity-skills-zh/main/skills/performing-endpoint-forensics-investigation/SKILL.md"

Manual Installation

  1. Download SKILL.md from GitHub
  2. Place it in .claude/skills/performing-endpoint-forensics-investigation/SKILL.md inside your project
  3. Restart your AI agent — it will auto-discover the skill

How performing-endpoint-forensics-investigation Compares

Feature / Agentperforming-endpoint-forensics-investigationStandard Approach
Platform SupportNot specifiedLimited / Varies
Context Awareness High Baseline
Installation ComplexityUnknownN/A

Frequently Asked Questions

What does this skill do?

对受损端点执行数字取证调查,包括内存获取、磁盘镜像、工件分析和时间线重建。 适用于调查安全事件、为法律诉讼收集证据或分析端点受损范围的场景。 适用于涉及端点取证、内存分析、磁盘取证或事件调查的请求。

Where can I find the source code?

You can find the source code on GitHub using the link provided at the top of the page.

SKILL.md Source

# 执行端点取证调查

## 使用场景

在以下情况下使用本技能:
- 调查需要取证分析的已确认或疑似端点入侵
- 为事件响应或法律诉讼收集易失性和非易失性证据
- 分析内存转储以发现恶意软件、注入代码或凭据窃取工件
- 从端点工件(prefetch、shimcache、amcache)重建攻击者时间线

**不适用于**实时威胁狩猎(使用 EDR/SIEM)或网络取证。

## 前置条件

- 配备分析工具的取证工作站(Volatility 3、KAPE、Autopsy、Eric Zimmerman 工具)
- 磁盘镜像的写阻断器(硬件或软件)
- 具有监管链文档的安全证据存储
- 内存获取工具(WinPMEM、FTK Imager、Magnet RAM Capture)
- 目标端点的管理员访问权限(或物理访问)

## 操作流程

### 步骤 1:证据保全(易失性顺序)

按从最易失到最不易失的顺序收集证据:
```
1. 系统内存(RAM)- 最易失
2. 网络连接和路由表
3. 运行中的进程和打开的文件
4. 磁盘内容(文件系统)
5. 可移动媒体
6. 日志和备份数据 - 最不易失
```

**内存获取**:
```powershell
# WinPMEM(Windows)
winpmem_mini_x64.exe memdump.raw

# FTK Imager - 通过 GUI 创建内存捕获
# 文件 → 捕获内存 → 目标路径 → 捕获内存

# Linux(LiME 内核模块)
sudo insmod lime.ko "path=/evidence/memory.lime format=lime"
```

**易失性数据收集**:
```powershell
# 捕获运行中的进程
Get-Process | Export-Csv "evidence\processes.csv" -NoTypeInformation
tasklist /v > "evidence\tasklist.txt"

# 捕获网络连接
netstat -anob > "evidence\netstat.txt"
Get-NetTCPConnection | Export-Csv "evidence\tcp_connections.csv"

# 捕获已登录用户
query user > "evidence\logged_users.txt"

# 捕获计划任务
schtasks /query /fo CSV /v > "evidence\scheduled_tasks.csv"

# 捕获服务
Get-Service | Export-Csv "evidence\services.csv"

# 捕获 DNS 缓存
ipconfig /displaydns > "evidence\dns_cache.txt"
```

### 步骤 2:磁盘镜像

```powershell
# FTK Imager - 创建取证磁盘镜像
# 文件 → 创建磁盘镜像 → 物理驱动器 → E01 格式
# 始终验证镜像哈希(MD5/SHA1)与源匹配

# dd(Linux)
sudo dc3dd if=/dev/sda of=/evidence/disk.dd hash=sha256 log=/evidence/imaging.log

# 验证镜像完整性
sha256sum /evidence/disk.dd
# 与镜像期间生成的哈希对比
```

### 步骤 3:使用 Volatility 3 进行内存分析

```bash
# 识别操作系统配置文件
vol -f memdump.raw windows.info

# 列出运行中的进程
vol -f memdump.raw windows.pslist
vol -f memdump.raw windows.pstree

# 查找隐藏进程
vol -f memdump.raw windows.psscan

# 分析网络连接
vol -f memdump.raw windows.netscan

# 检测进程注入
vol -f memdump.raw windows.malfind

# 提取命令行参数
vol -f memdump.raw windows.cmdline

# 分析进程加载的 DLL
vol -f memdump.raw windows.dlllist --pid 1234

# 从内存提取文件
vol -f memdump.raw windows.filescan | grep -i "suspicious"
vol -f memdump.raw windows.dumpfiles --pid 1234

# 检测凭据窃取
vol -f memdump.raw windows.hashdump
vol -f memdump.raw windows.lsadump

# 从内存进行注册表分析
vol -f memdump.raw windows.registry.printkey --key "Software\Microsoft\Windows\CurrentVersion\Run"
```

### 步骤 4:Windows 工件分析

```
关键取证工件及其工具:

Prefetch 文件(C:\Windows\Prefetch\):
  工具:PECmd.exe(Eric Zimmerman)
  显示:带时间戳和运行次数的程序执行历史
  命令:PECmd.exe -d "C:\Windows\Prefetch" --csv output\

ShimCache(AppCompatCache):
  工具:AppCompatCacheParser.exe
  显示:系统中存在过的程序(即使已删除)
  命令:AppCompatCacheParser.exe -f SYSTEM --csv output\

AmCache(C:\Windows\appcompat\Programs\Amcache.hve):
  工具:AmcacheParser.exe
  显示:带 SHA1 哈希和安装时间戳的程序执行
  命令:AmcacheParser.exe -f Amcache.hve --csv output\

NTFS 工件($MFT、$UsnJrnl、$LogFile):
  工具:MFTECmd.exe
  显示:完整文件系统时间线,包括已删除文件
  命令:MFTECmd.exe -f "$MFT" --csv output\

事件日志:
  工具:EvtxECmd.exe
  显示:安全、系统、PowerShell、Sysmon 事件
  命令:EvtxECmd.exe -d "C:\Windows\System32\winevt\Logs" --csv output\

注册表配置单元(SAM、SYSTEM、SOFTWARE、NTUSER.DAT):
  工具:RECmd.exe 及批处理文件
  显示:用户账户、服务、已安装软件、USB 历史
  命令:RECmd.exe -d "C:\Windows\System32\config" --bn BatchExamples\RECmd_Batch_MC.reb --csv output\
```

### 步骤 5:时间线重建

```bash
# 使用 KAPE 进行自动化工件收集
kape.exe --tsource C: --tdest C:\evidence\kape_output \
  --target KapeTriage --module !EZParser

# 使用 plaso/log2timeline 创建超级时间线
log2timeline.py timeline.plaso disk_image.E01
psort.py -o l2tcsv timeline.plaso -w timeline.csv

# 过滤事件期间附近的时间线
psort.py -o l2tcsv timeline.plaso "date > '2026-02-20' AND date < '2026-02-22'" -w filtered_timeline.csv
```

### 步骤 6:记录发现

取证报告结构:
```
1. 执行摘要
2. 范围和方法论
3. 证据清单(含监管链)
4. 事件时间线
5. 发现和分析
   - 初始访问向量
   - 持久化机制
   - 横向移动
   - 数据访问/泄露
6. 失陷指标(IOC)
7. 建议措施
8. 附录(工具输出、哈希、原始证据)
```

## 关键概念

| 术语 | 定义 |
|------|------|
| **易失性顺序** | 从最易失(RAM)到最不易失(备份)的证据收集优先级 |
| **监管链** | 从收集到呈堂的证据处理完整文档记录 |
| **写阻断器** | 防止修改源证据的硬件或软件设备 |
| **超级时间线** | 所有工件时间戳的综合时间顺序视图,用于事件重建 |
| **Prefetch** | 记录程序执行历史的 Windows 工件 |
| **ShimCache** | 跟踪端点上程序存在情况的应用程序兼容性工件 |

## 工具与系统

- **Volatility 3**:用于分析 RAM 转储的内存取证框架
- **KAPE(Kroll Artifact Parser and Extractor)**:自动化分类收集和解析
- **Eric Zimmerman 工具**:Windows 工件解析器套件(PECmd、MFTECmd、RECmd 等)
- **Autopsy/Sleuth Kit**:用于文件系统分析的磁盘取证平台
- **FTK Imager**:取证镜像和内存获取工具
- **Plaso/log2timeline**:超级时间线创建框架

## 常见误区

- **在实时系统上修改证据**:始终先镜像再分析。在实时系统上运行工具会改变时间戳和内存状态。
- **忘记监管链**:没有记录监管链的证据在法律诉讼中不可采信。
- **只分析磁盘,忽略内存**:仅在内存中的恶意软件(无文件攻击)不留下磁盘工件。始终先捕获内存。
- **未对证据进行哈希**:所有证据必须在收集时进行加密哈希以证明完整性。
- **隧道视野**:专注于单一工件而忽视时间线呈现的更广泛故事。始终构建全面的时间线。

Related Skills

performing-yara-rule-development-for-detection

9
from killvxk/cybersecurity-skills-zh

通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。

performing-wireless-security-assessment-with-kismet

9
from killvxk/cybersecurity-skills-zh

使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。

performing-wireless-network-penetration-test

9
from killvxk/cybersecurity-skills-zh

执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。

performing-windows-artifact-analysis-with-eric-zimmerman-tools

9
from killvxk/cybersecurity-skills-zh

使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。

performing-wifi-password-cracking-with-aircrack

9
from killvxk/cybersecurity-skills-zh

在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。

performing-web-cache-poisoning-attack

9
from killvxk/cybersecurity-skills-zh

在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。

performing-web-cache-deception-attack

9
from killvxk/cybersecurity-skills-zh

通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。

performing-web-application-vulnerability-triage

9
from killvxk/cybersecurity-skills-zh

使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。

performing-web-application-scanning-with-nikto

9
from killvxk/cybersecurity-skills-zh

Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。

performing-web-application-penetration-test

9
from killvxk/cybersecurity-skills-zh

遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。

performing-web-application-firewall-bypass

9
from killvxk/cybersecurity-skills-zh

使用编码技术、HTTP 方法操控、参数污染和载荷混淆绕过 Web 应用防火墙保护,将 SQL 注入、XSS 及其他攻击载荷穿透 WAF 检测规则。

performing-vulnerability-scanning-with-nessus

9
from killvxk/cybersecurity-skills-zh

使用 Tenable Nessus 执行认证和未认证漏洞扫描,识别网络基础设施、服务器和应用程序中的已知漏洞、 错误配置、默认凭据和缺失补丁。扫描器将发现与 CVE 数据库和 CVSS 评分关联,生成优先级修复指导。 适用于漏洞扫描、Nessus 评估、补丁合规检查或自动化漏洞检测等请求场景。