LasCC/DFIRHub
GitHub: LasCC/DFIRHub
集 Windows 取证工件检索、Sigma 规则多后端转换、采集脚本生成于一体的一站式 DFIR Web 平台。
Stars: 1 | Forks: 0
# DFIRHub
一个用于搜索 Windows 取证工件、转换 Sigma 规则并生成收集脚本的 Web 应用程序。
## 功能
- **工件搜索** — 浏览和搜索 Windows 取证工件,集成 KAPE
- **Sigma 转换器** — 使用 pySigma 通过 Pyodide 在浏览器中将 Sigma 规则转换为 17+ 后端(Splunk、Elastic、KQL、Loki、CrowdStrike 等)
- **SigmaHQ 搜索** — 直接从 SigmaHQ 仓库搜索和导入规则
- **收集命令** — 生成 PowerShell、Batch 和 WSL 收集脚本
- **脚本构建器** — 构建自定义多工件收集脚本
- **键盘导航** — 完整的快捷键支持(`/`、`Cmd+K`、`Cmd+Shift+K`、vim 风格的 `g` 序列)
## 快速开始
```
git clone https://github.com/LasCC/DFIRHub.git
cd DFIRHub
git submodule update --init --recursive
bun install
bun dev
```
打开 `http://localhost:4321`。
## 命令
| 命令 | 描述 |
| --------------------- | -------------------------------- |
| `bun dev` | 开发服务器 |
| `bun build` | 生产构建 |
| `bun preview` | 预览生产构建 |
| `bun run test` | 运行测试 |
| `bun run sigma:index` | 从 SigmaHQ 重建 Sigma 规则索引 |
## 项目结构
```
src/
├── components/
│ ├── converter/ # Sigma rule converter UI
│ ├── layout/ # Header, Footer
│ ├── search/ # Pagefind search
│ └── ui/ # Shared Radix UI primitives
├── content/kapefiles # KapeFiles git submodule
├── lib/sigma/ # Sigma converter engine (Pyodide worker, backends, pipelines)
├── pages/ # Astro file-based routing
└── styles/ # Global Tailwind styles
```
## CI/CD 流水线
两个工作流都需要一个 `NETLIFY_BUILD_HOOK` 密钥(Netlify → Build hooks → 复制 URL → GitHub → Repo secrets)。
| 工作流 | 计划 | 作用 |
| ------------------------ | ----------------------- | ------------------------------------------------------------ |
| `update-kapefiles.yml` | 每周(周一 00:00 UTC) | 触发 Netlify 重建以拉取最新的 KapeFiles 子模块 |
| `update-sigma-rules.yml` | 每月(1 日 02:00 UTC) | 从 SigmaHQ API 重建 Sigma 规则索引,提交更改,触发 Netlify 重建 |
两者都支持 `workflow_dispatch` 以进行手动触发。
## 键盘快捷键
| 快捷键 | 操作 |
| -------------- | ---------------------- |
| `/` 或 `Cmd+K` | 打开搜索 |
| `Cmd+Shift+K` | 打开 Sigma 搜索(转换器页面) |
| `g h` | 前往主页 |
| `g a` | 前往工件页 |
| `g c` | 前往收集页 |
| `g b` | 前往构建器页 |
| `?` | 显示所有快捷键 |
## 技术栈
[Astro](https://astro.build) + React, [Tailwind CSS](https://tailwindcss.com), [Pagefind](https://pagefind.app), [Pyodide](https://pyodide.org), [Netlify](https://netlify.com)
## 许可证
[MIT](LICENSE)
## 致谢
- [Eric Zimmerman](https://github.com/EricZimmerman) — KapeFiles 和 KAPE
- [SigmaHQ](https://github.com/SigmaHQ/sigma) — Sigma 检测规则
- [pySigma](https://github.com/SigmaHQ/pySigma) — Sigma 转换引擎
标签:AMSI绕过, Astro, DNS 反向解析, EDR, HTTPS请求, HTTP工具, IPv6, KAPE, KQL, PowerShell, Pyodide, Python, Sigma规则, Windows取证, 二进制发布, 取证采集, 域名收集, 威胁检测, 子域名变形, 安全运营, 开源工具, 扫描框架, 数字取证, 无后门, 目标导入, 网络安全, 网络安全审计, 脆弱性评估, 脚本生成, 自动化攻击, 自动化攻击, 自动化脚本, 规则转换, 隐私保护