Windows应急响应/Lab-README

本页是Windows应急响应系列的实验环境总览

三层学习策略 + 实验清单 + 工具清单 + 操作流程

一、三层学习策略（Three-Tier Strategy）

Tier 1：macOS本机 —— EVTX样本分析（无需VM）

适用：事件日志分析、YARA规则编写、静态分析练习

方式：在macOS上使用跨平台工具分析Windows制品

工具：

Hayabusa（macOS版）→ 分析.evtx文件

YARA（macOS版）→ 编写和测试规则

chainsaw（macOS版）→ 事件日志分析

Python evtx → pip install python-evtx 解析evtx

样本来源：

EVTX-ATTACK-SAMPLES：https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES

Hayabusa Sample：https://github.com/Yamato-Security/hayabusa-sample-evtx

SANS DFIR 样本集

Tier 2：Windows VM —— PowerShell动手实验

适用：注册表操作、持久化植入与检测、工具实操

方式：在Windows虚拟机中模拟攻防场景

VM搭建指南：参考 00-学习路线

推荐配置：

Windows 10/11 Pro（支持Sandbox和Hyper-V）

4GB+ RAM，60GB+ 磁盘

安装Sysmon + Sysinternals Suite

创建初始快照（clean state）

Tier 3：在线资源 —— CTF与靶场

适用：综合场景练习、实战模拟

推荐平台：

CyberDefenders：https://cyberdefenders.org → 蓝队取证挑战

LetsDefend：https://letsdefend.io → SOC模拟

Blue Team Labs Online：https://blueteamlabs.online → IR实验

HackTheBox Sherlock：https://hackthebox.com → 取证挑战

TryHackMe：https://tryhackme.com → Windows IR学习路径

SANS Holiday Hack：年度免费挑战

二、实验清单

#	实验名称	Tier	难度	关联笔记
L01	EVTX日志分析 —— 暴力破解检测	1	初级	Windows应急响应/05-Windows日志体系
L02	EVTX日志分析 —— RDP横向移动追踪	1	初级	Windows应急响应/06-RDP与横向移动日志
L03	Hayabusa规则匹配 —— APT样本检测	1	中级	Windows应急响应/07-Hayabusa日志分析
L04	Sysmon部署与配置验证	2	初级	Windows应急响应/08-Sysmon高级监控
L05	注册表Run键持久化植入与检测	2	初级	09-注册表持久化审计
L06	计划任务持久化（含隐藏任务）	2	中级	Windows应急响应/18-计划任务持久化
L07	WMI Event Subscription持久化	2	中级	Windows应急响应/19-WMI事件订阅持久化
L08	IFEO Debugger劫持与SilentProcessExit	2	中级	25-IFEO与AppInit-DLLs后门
L09	DLL侧加载模拟	2	高级	22-DLL劫持与侧加载
L10	KAPE采集与EZ Tools解析	2	中级	36-自动化IR工具-KAPE与Velociraptor
L11	Velociraptor VQL查询练习	2	中级	36-自动化IR工具-KAPE与Velociraptor
L12	PEStudio静态分析练习	1/2	初级	35-恶意软件基础分析
L13	YARA规则编写 —— PE模块	1	中级	35-恶意软件基础分析
L14	PowerShell去混淆实战	2	高级	35-恶意软件基础分析
L15	全量持久化排查演练	2	高级	30-持久化综合Checklist
L16	CyberDefenders蓝队挑战	3	中级	—
L17	HackTheBox Sherlock取证	3	高级	—

三、工具清单（Tool Checklist）

VM必装工具

工具	用途	安装方式
Sysinternals Suite	进程分析、Autoruns、ProcMon	choco install sysinternals -y
Sysmon	高级系统监控	Sysinternals Suite内含
Eric Zimmerman Tools	取证制品解析全套	Get-ZimmermanTools.ps1
KAPE	自动化取证采集	Kroll官网下载
Hayabusa	Windows日志快速分析	GitHub Release
Velociraptor	远程IR与VQL查询	GitHub Release
YARA	恶意软件模式匹配	choco install yara -y
PEStudio	PE静态分析	winitor.com
Detect It Easy	加壳/编译器识别	GitHub Release
dnSpy	.NET反编译与调试	GitHub Release
CFF Explorer	PE头部分析	NTCore
FLOSS	混淆字符串解码	GitHub Release
7-Zip	压缩文件处理	choco install 7zip -y

macOS端工具（Tier 1用）

工具	安装
Hayabusa	brew install hayabusa 或GitHub Release
YARA	brew install yara
chainsaw	GitHub Release
python-evtx	pip install python-evtx

四、实验操作流程

标准VM实验流程

1. 恢复到clean快照
   ↓
2. 运行 setup.ps1（植入模拟攻击痕迹）
   ↓
3. 调查分析（按照对应笔记页面指引）
   ↓
4. 记录发现 → 与答案对比
   ↓
5. 还原快照（保持环境干净）

快照管理建议

Snap-Clean：初始干净状态（Sysmon已部署、工具已安装）

Snap-ToolsReady：工具全部就绪（KAPE、EZ Tools、Velociraptor）

每次实验前从 Snap-Clean 或 Snap-ToolsReady 恢复

切勿在受感染的快照上继续其他实验

setup.ps1 模板

每个实验配套一个setup脚本，用于植入模拟痕迹：

<#
.SYNOPSIS
  Lab Setup Script Template
.DESCRIPTION
  植入模拟攻击痕迹供调查练习
.PARAMETER LabName
  实验名称
#>
param(
  [string]$LabName = "Lab-Template"
)

Write-Host "=== $LabName Setup ===" -ForegroundColor Yellow
Write-Host "植入模拟攻击痕迹中..." -ForegroundColor Cyan

# === 在此添加模拟攻击代码 ===
# 示例：添加持久化
# reg add "HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Updater" /t REG_SZ /d "C:\temp\beacon.exe" /f

# 示例：创建可疑计划任务
# schtasks /create /tn "SystemUpdate" /tr "powershell -w hidden -ep bypass -f C:\temp\update.ps1" /sc daily /st 03:00

Write-Host "`n[+] Setup完成。请开始调查！" -ForegroundColor Green
Write-Host "提示：使用对应笔记页面中的检测命令进行排查" -ForegroundColor Yellow

关联参考：

00-学习路线 — VM搭建与学习规划

30-持久化综合Checklist — 全量排查参考

36-自动化IR工具-KAPE与Velociraptor — 工具详细用法

---

上一章	目录	下一章
38-冷门持久化与内核级威胁补充	Windows应急响应