Igbinosa-Christian/dfir-network-memory-forensics

GitHub: Igbinosa-Christian/dfir-network-memory-forensics

一个数字取证实战案例库,演示了如何通过 PCAP 分析与内存取证调查 TrickBot 木马和恶意 PDF 攻击。

Stars: 0 | Forks: 0

# 网络与内存取证 – DFIR 案例 本仓库记录了两次实战数字取证调查: 网络恶意软件分析和恶意 PDF 攻击的内存取证。 ## 案例 1:网络取证 - 使用 Wireshark 和 NetworkMiner 进行 PCAP 分析 - 从 HTTP 流量中提取恶意软件 payload - 识别伪装成图像的 TrickBot 恶意软件 - 使用 TLS 证书分析发现命令与控制 (C2) 基础设施 - 收集威胁指标 (IP、端口、哈希值) ## 案例 2:内存取证 (恶意 PDF) - 使用 Volatility 进行内存分析 - 检测由恶意 PDF 触发的注入进程 - 分析活动 socket 和可疑的外部连接 - 识别银行恶意软件行为 (Zbot/Zeus) ## 工具与技术 - Wireshark - NetworkMiner - Volatility - Kali Linux ## 免责声明 所有场景均为**学术和模拟性质**。 未涉及任何真实的系统、用户或组织。 ## 报告 📄 [网络与内存取证案例工作 (PDF)](report/Network_and_Memory_Forensics_Casework.pdf)
标签:DAST, DNS 反向解析, IP 地址批量处理, SecList, 内存取证, 库, 应急响应, 恶意软件分析, 数字取证, 网络信息收集, 自动化脚本