微软有着可怕的安全记录。但 2011 年真正的问题不是操作系统，而是它的 Web 应用程序和 Web 浏览器。你应该探索像Damn Vulnerable Web App、OWASP WebGoat 和特别是Google Gruyere这样的项目。您可以为所有这些虚拟机找到预构建的虚拟机，而 Google 正在托管他们的虚拟机，因此您无需安装任何东西。

一本关于 Rootkit 和通过它们利用 Win32 系统的精彩书籍是“Rootkit 兵工厂：系统黑暗角落中的逃生和逃避”。它包含有关 rootkit 及其背后过程的极其深入的信息。不过请注意，为了充分欣赏本书，强烈建议您具有 C 语言背景。

当你谈到新手时，谷歌的格鲁耶尔绝对是要走的路。
正如@Rook 所写，Web 应用程序是您今天应该看到的。您不必担心概念，当您沿着 Gruyere 前进时，它们会在您进入特定漏洞之前解释这些概念。正如我们现在在这里所说的那样，我正在学习格鲁耶尔的方式:)

您不一定需要从 Windows 内部开始执行行为分析。您可以先尝试其他更简单、更有趣的方法。

您可以从使用诸如wireshark之类的工具跟踪网络活动开始，看看您可以从那里收集到哪些证据。

波动性或rekall等工具是开始学习内存取证的好方法，无需学习操作系统原理。

使用基于虚拟机的沙箱执行文件系统取证的一种非常简单的方法是在不同时间拍摄两个磁盘快照并比较它们以查看发生了什么变化。

只是说有更多的方法可以解决问题，作为初学者，我认为应该首先尝试最简单和最有趣的方法。

例如，SEE教程展示了如何在无需了解大量 Windows/Linux 内部结构的情况下检查恶意软件。