LuCamachoJr/DFIR-Labs

GitHub: LuCamachoJr/DFIR-Labs

一个DFIR数字取证与事件响应的实战学习作品集，包含完整调查案例、检测规则和工具配置。

Stars: 0 | Forks: 0

# DFIR-Labs — 证据 → 时间线 → 报告实战 **数字取证与事件响应** 调查：内存、磁盘和网络取证 + 检测。基于家庭 DFIR 环境中的每周实验（HTB Sherlocks, Let’sDefend）构建。公开工件仅使用**合成/实验数据**。 ![SIEM: Splunk](https://img.shields.io/badge/SIEM-Splunk-informational) ![Rules: Sigma](https://img.shields.io/badge/Rules-Sigma-informational) ![Forensics: Volatility](https://img.shields.io/badge/Forensics-Volatility-informational) ![Network: Zeek](https://img.shields.io/badge/Network-Zeek-informational) ![License](https://img.shields.io/github/license/LuCamachoJr/DFIR-Labs) ## 目录 - `cases/` — 已完成的案例笔记 (PDF/Markdown), IOC, ATT&CK 映射 - `2025-08-22-WinMem-PowerShell-Beaconing/` — case.md + report.pdf - `detections/` - `splunk/` — 用于搜寻/检测的 SPL 搜索 - `sigma/` — Sigma 规则 (YAML) - `tools/` — 配置与 Playbook (例如 Sysmon, Zeek, KAPE) - `scripts/` — 小型实用工具 (解析, 哈希, 时间线, IOC 导出) ## 说明 - 数据已经过脱敏处理并生成用于实验室用途。 - 映射遵循 **MITRE ATT&CK**（如适用）。

标签：AMSI绕过, ATT&CK映射, HTTP/HTTPS抓包, IOCs, IP 地址批量处理, KAPE, Libemu, OpenCanary, Rootkit, SecList, Sigma规则, Sysmon, YAML, Zeek, 事件调查, 内存取证, 后渗透, 威胁情报, 威胁检测, 安全库, 安全教育, 安全运营, 库, 应急响应, 开发者工具, 态势感知, 扫描框架, 攻击溯源, 数字取证, 无线安全, 目标导入, 磁盘取证, 网络安全审计, 网络靶场, 自动化脚本, 速率限制处理, 防御加固, 黑客攻击模拟