說明 Microsoft Network Monitor是由微軟出的網路封包分析工具，主要功能跟wireshark類似，有興趣的下可以載來玩玩。安裝後要重登入，才可以讀到網路

說明 Event id 6005 說明了Event log開始紀錄，也代表了開機時間，6006為Event Log停止記錄，也代表了關機時間 Get-EventLog -LogName System |? {$\_.EventID -in (6005,6006,6008,6009,1074,1076)} | ft TimeGenerated,EventId,Message -AutoSize -wrap 如果

本篇文章介紹Windows Event Log中的類型與稽核原則。後續並介紹建議設定的稽核原則內容與監控的方向。 介紹 資安監控可以有效的發現場域內需要注意

主要利用volatility framework 2.6執行 識別system profile python vol.py -f %image\_name% imageinfo pslist pstree cmdscan 延伸閱讀 [轉]藍隊訓練 [轉]病毒分析教學 Malware-Analysis-Training 藍隊營運Blue Team Operations [Part 1]:

在資訊安全領域中，不論扮演的是紅隊還是藍隊，都需要的公開資訊蒐集的能力。如有需要知道的IP與Domain Name，可利用下面的網站查詢 IP/DN 資訊

介紹 Malware incidents are the most common yet most dangerous cyber security incidents in any organization. We shall discuss how a SOC expert will investigate malware incidents in a real-time corporate environment along with a relevant example. Before we discuss malware incidents in detail, first, we will understand what is malware? According to Norton, “Malware is an abbreviated form of “m