Igbinosa-Christian/dfir-network-memory-forensics
GitHub: Igbinosa-Christian/dfir-network-memory-forensics
一个数字取证实战案例库,演示了如何通过 PCAP 分析与内存取证调查 TrickBot 木马和恶意 PDF 攻击。
Stars: 0 | Forks: 0
# 网络与内存取证 – DFIR 案例
本仓库记录了两次实战数字取证调查:
网络恶意软件分析和恶意 PDF 攻击的内存取证。
## 案例 1:网络取证
- 使用 Wireshark 和 NetworkMiner 进行 PCAP 分析
- 从 HTTP 流量中提取恶意软件 payload
- 识别伪装成图像的 TrickBot 恶意软件
- 使用 TLS 证书分析发现命令与控制 (C2) 基础设施
- 收集威胁指标 (IP、端口、哈希值)
## 案例 2:内存取证 (恶意 PDF)
- 使用 Volatility 进行内存分析
- 检测由恶意 PDF 触发的注入进程
- 分析活动 socket 和可疑的外部连接
- 识别银行恶意软件行为 (Zbot/Zeus)
## 工具与技术
- Wireshark
- NetworkMiner
- Volatility
- Kali Linux
## 免责声明
所有场景均为**学术和模拟性质**。
未涉及任何真实的系统、用户或组织。
## 报告
📄 [网络与内存取证案例工作 (PDF)](report/Network_and_Memory_Forensics_Casework.pdf)
标签:DAST, DNS 反向解析, IP 地址批量处理, SecList, 内存取证, 库, 应急响应, 恶意软件分析, 数字取证, 网络信息收集, 自动化脚本