第0步：了解 Windows 历史与文件

• Windows 版本与 Windows 服务器版本
• 各版本的差异与功能不同
• 已知弱点（如 CVE ）也需要注意版本

第一步：了解基本指令的操作

• Get-Help Command-Name ：取得帮助内容。
• Get-Command  了解目前主机安装多少 cmdlet 。
• Invoke-WebRequest  ：送出请求，取得网页内容。
• 尝试了解 APT 组织所使用的 PowerShell 指令

第二步：了解 Windows File System

• Logical drives ：硬盘 C 槽
• 默认文件夹（ PerfLogs 、 Program Files and Program Files （ x86 ）、 Users ）
• 默认文件（操作系统的代码）

第三步：Windows 权限档案

• Full control ：允许用户、组设置文件夹与其他人的所有权限（修改、读取、写入、执行）。
• Modify ：允许用户和群组修改、读取、写入和执行文件。
• Read & execute ：允许用户和组读取和执行文件。
• List folders content ：允许用户和群组列出文件夹内容，含子文件夹。
• Read ：仅允许用户和群组读取档案。
• Write ：允许用户和组写入指定文件夹。
• Special permissions ：特殊访问权限。

• I ：从父容器继承的权限
• F ：完全控制
• M ：修改权限
• OI ：对象继承
• IO ：仅继承
• CI ：容器继承
• RX ：读取并执行
• AD ：追加子文件夹
• WD ：写入资料

第四步：Windows 身份验证

• 身份验证账户：本地用户账户和系统管理员账户。

• 认证：确认身份过程，认证 = 凭证 + 验证
• 授权：该用户可以做什么操作与可以访问什么资源。
• 凭证：身份证明：系统用户帐号和密码

• 了解 Windows 验证的原理与流程
• Windows 内建帐号与群组的关系
• net  指令的相关应用
• Windows 密码与哈希（ NTLM ）

第五步：Windows 内建功能

• 工作调度器：可以指定特定条件自动执行定义与操作。
• 事件查看器：查看 windows Log 相关事件（成功、失败登录事件与系统错误），可以将 Log 转发到 SIEM 中确认恶意动作。
• 共享文件夹：在网络上共享可以被多个用户访问的目录或文件夹。
• 本地用户和组：可以新增用户，可以管理群组。
• 效能：监视设备的 CPU 使用率、内存使用率。
• 装置管理器：硬件管理，网络接口卡、鼠标、韧体。
• 磁盘管理：可以缩小、扩展、新增分区并格式化。
• 服务和应用程序：可以检查系统上正在执行的服务，启动、停止、重新启动。

第六步：Windows Server

第七步：Windows Log

1. Event Viewer
2. Wevtutil.exe
3. Get-WinEvent

• 关闭 Windows IIS HTTP Logging 的手法

第八步：Active Directory

• NTLM
• LDAP / LDAPS
• KERBEROS

• SAML （安全性声明标记语言）
• OAUTH 2.0
• OpenID 连接

第九步：恶意脚本撰写

• PowerShell
• VBScript
• JavaScript

• GitHub - redcanaryco/atomic-red-team: Small and highly portable detection tests based on MITRE's ATT&CK.