作者：Zgao

SRUM 被认为是取证信息的金矿，因为它包含特定 Windows 系统上发生的所有活动。SRUM 跟踪和记录程序执行、功耗、网络活动以及更多信息，即使源已被删除也可以检索这些信息。此类信息使取证人员能够深入了解系统上以前发生的活动和事件。

Jumplists跳转列表的维护记录被认为是调查期间证据信息的重要来源。对跳转列表文件的分析可以提供有关用户在系统上的历史活动的有价值的信息，例如文件创建、访问和修改。取证人员可以利用从跳转列表文件中提取的数据来构建用户活动的时间线。

上周研究了一下如何从小狐狸的插件文件中恢复助记词。结合官方描述是在知道密码的前提下，可以从插件文件中提取vault字段在官方提供的解密页面进行恢复。

https://metamask.github.io/vault-decryptor/

最近在tg上遇到一种场景，需要自动回复bot返回的菜单消息。网上没有相关教程，自行研究了一下。

Windows取证的基础主要包括：

• Windows Live Response（通过powershell命令收集当前系统信息）
• Windows 文件系统

Redline是 FireEye 的首款免费端点安全工具，为用户提供主机调查功能，通过内存和文件分析以及威胁评估配置文件的开发来查找恶意活动的迹象。使用 Redline 收集、分析和过滤端点数据并执行 IOC 分析和命中审查。Redline还具有漂亮的 GUI，并且可以非常整齐地对数据进行分类。

Sysmon (System Monitor) 是一种 Windows 系统服务和设备驱动程序，一旦安装在系统上，它就会在系统重启后继续驻留，以监视系统活动并将其记录到 Windows 事件日志中。Sysmon 记录的事件日志非常详细，提供了进程执行、文件系统活动、网络级事件、Windows 注册表事件和其他 Windows 特定进程（如命名管道）的可视化。

现在每天的工作已经离不开chatGPT了，由于我每天需要研判各种漏洞情报，并把组件的指纹转化为对应的内部扫描系统的插件。然而大部分指纹在nuclei的模板中都有集成，可以直接复用。所以工作的流程大致如下。

很明显第三步和第四步都可以用chatGPT来辅助完成。但是实际使用的过程中发现，每次都要对应的把nuclei的模板给到chatGPT，并且生成出来的代码格式和质量都参差不齐，还需要自己再手动修改才能使用。而GPTs的出现则完美解决了这个问题，极大提升工作效率。