DevSen101/Digital-Forensics-Tools
GitHub: DevSen101/Digital-Forensics-Tools
Stars: 1 | Forks: 0
# 🔍 数字取证工具包
[](https://awesome.re)
[](http://makeapullrequest.com)
[](https://opensource.org/licenses/MIT)
**精选的前沿取证调查工具、框架和资源库,涵盖事件响应、恶意软件分析和数字证据获取。**
[🚀 快速入门](#-quick-start) • [🛠️ 工具](#-tools-by-category) • [📚 学习](#-learning-resources) • [🎯 CTF 挑战](#-capture-the-flag-ctf-challenges) • [🤝 贡献指南](#-contributing)
## 📖 目录
- [🎯 概述](#-overview)
- [⭐ 精选合集](#-featured-collections)
- [🛠️ 分类工具](#-tools-by-category)
- [💿 取证发行版](#-forensic-distributions)
- [🏗️ 调查框架](#️-investigation-frameworks)
- [⚡ 实时取证与事件响应](#-live-forensics--incident-response)
- [📦 证据获取](#-evidence-acquisition)
- [💾 磁盘镜像与克隆](#-disk-imaging--cloning)
- [🔪 数据雕刻与恢复](#-data-carving--recovery)
- [🧠 内存取证](#-memory-forensics)
- [🌐 网络取证](#-network-forensics)
- [🪟 Windows 产物分析](#-windows-artifact-analysis)
- [🍎 macOS 取证](#-macos-forensics)
- [📱 移动设备取证](#-mobile-device-forensics)
- [🐳 容器取证](#-container-forensics)
- [🌐 浏览器取证](#-browser-forensics)
- [⏱️ 时间线分析](#️-timeline-analysis)
- [💽 磁盘镜像管理](#-disk-image-management)
- [🔓 密码分析与解密](#-cryptanalysis--decryption)
- [📊 案件管理](#-case-management)
- [🖼️ 图像分析](#️-image-analysis)
- [🕵️ 隐写术](#️-steganography)
- [📄 元数据提取](#-metadata-extraction)
- [🌍 Web 取证](#-web-forensics)
- [📚 学习资源](#-learning-resources)
- [🎯 夺旗赛 (CTF) 挑战](#-capture-the-flag-ctf-challenges)
- [📚 必读材料](#-essential-reading)
- [🗂️ 数据集与语料库](#️-datasets--corpora)
- [🐦 社区与更新](#-community--updates)
- [🔗 相关资源](#-related-resources)
- [🤝 贡献指南](#-contributing)
- [📜 许可证](#-license)
## 🎯 概述
本仓库作为数字取证调查人员、事件响应者、安全研究人员和网络安全专业人士的综合知识库。无论您是在分析受损系统、恢复已删除的证据,还是追踪高级持续性威胁,这里都提供了所需的工具。
**主要关注领域:**
- 🔍 死机取证与证据保全
- ⚡ 实时系统分析与事件响应
- 🧠 内存转储分析与恶意软件检测
- 📱 移动设备与云取证
- 🌐 网络流量分析与威胁追踪
- 🔐 加密数据恢复与密码破解
## ⭐ 精选合集
### 🎓 专业资源数据库
| 资源 | 描述 | 适用场景 |
|----------|-------------|----------|
| **[DFIR - The Definitive Compendium](https://aboutdfir.com)** | 认证、书籍、博客和挑战的综合索引 | 职业发展与持续学习 |
| **[DFIR SQL Query Repository](https://github.com/abrignoni/DFIR-SQL-Query-Repo)** | 用于取证分析的特定平台 SQL 模板 | 数据库产物提取 |
| **[DFIR.training](https://www.dfir.training/)** | 活动、工具和培训的精选数据库 | 技能提升与人脉拓展 |
| **[ForensicArtifacts.com](https://github.com/ForensicArtifacts/artifacts)** ⭐ | 机器可读的产物知识库 | 自动化产物收集 |
### 📖 参考材料
- **[Wikipedia - Digital Forensics Tools](https://en.wikipedia.org/wiki/List_of_digital_forensics_tools)** - 行业概览
- **[Eric Zimmerman's Tools](https://ericzimmerman.github.io/#!index.md)** - 必备的 Windows 取证工具
## 🛠️ 分类工具
### 💿 取证发行版
预装了取证工具的预配置 Linux 发行版,可立即部署。
| 发行版 | 平台 | 专长 | 核心特性 |
|--------------|----------|----------------|--------------|
| **[SIFT Workstation](https://github.com/teamdfir/sift)** ⭐ | Ubuntu | 通用取证 | 行业标准,工具集丰富 |
| **[CAINE](https://www.caine-live.net/)** | Ubuntu | 通用取证 | 友好的 GUI,写保护功能 |
| **[Remnux](https://remnux.org/)** | Ubuntu | 恶意软件分析 | 专注于逆向工程 |
| **[Tsurugi Linux](https://tsurugi-linux.org/)** | Ubuntu | DFIR | 日本开发,功能全面 |
| **[Paladin](https://sumuri.com/software/paladin/)** | Ubuntu | 取证级镜像 | 简化的证据收集 |
| **[Bitscout](https://github.com/vitaly-kamluk/bitscout)** | Custom | 远程取证 | 用于远程调查的 LiveCD |
| **[Santoku](https://santoku-linux.com/)** | Ubuntu | 移动取证 | Android/iOS 分析 |
| **[Predator OS](http://predator-os.ir/)** | Debian | 渗透测试 | 安全审计工具 |
| **[WinFE](https://www.winfe.net/home)** | Windows | Windows 取证 | Windows PE 环境 |
| **[GRML-Forensic](https://grml-forensic.org/)** | Debian | 命令行取证 | 轻量级,快速启动 |
**💡 专业提示:** 通用调查使用 SIFT,恶意软件分析使用 Remnux,远程获取使用 Bitscout。
### 🏗️ 调查框架
用于管理复杂调查的端到端平台。
#### 🔥 企业级框架
- **[Autopsy](http://www.sleuthkit.org/autopsy/)** ⭐ - The Sleuth Kit 的 GUI,支持时间线分析、关键字搜索和注册表解析
- **[The Sleuth Kit](https://github.com/sleuthkit/sleuthkit)** ⭐ - 用于底层取证分析的命令行工具
- **[IPED](https://github.com/sepinf-inc/IPED)** - 巴西联邦警察的索引和处理工具,支持 OCR 和机器学习
- **[Kuiper](https://github.com/DFIRKuiper/Kuiper)** - 具有产物解析器和时间线生成功能的数字调查平台
#### ⚙️ 专用框架
- **[DFF (Digital Forensics Framework)](https://github.com/arxsys/dff)** - 支持 Python 脚本的模块化框架
- **[Turbinia](https://github.com/google/turbinia)** - 云原生取证工作负载编排
- **[PowerForensics](https://github.com/Invoke-IR/PowerForensics)** - 用于实时磁盘分析的 PowerShell 框架
- **[RegRippy](https://github.com/airbus-cert/regrippy)** - Windows 注册表提取框架
#### 🛡️ 威胁情报集成
- **[IntelMQ](https://github.com/certtools/intelmq)** - 安全源收集和处理
- **[Laika BOSS](https://github.com/lmco/laikaboss)** - 对象扫描器和入侵检测
### ⚡ 实时取证与事件响应
无需关机即可分析运行中系统的工具。
| 工具 | 平台 | 用例 | 核心能力 |
|------|----------|----------|----------------|
| **[Velociraptor](https://github.com/Velocidex/velociraptor)** | 跨平台 | 端点可见性 | VQL 查询,狩猎 |
| **[GRR Rapid Response](https://github.com/google/grr)** | 跨平台 | 远程实时取证 | 基于 Agent 的收集 |
| **[osquery](https://github.com/osquery/osquery)** | 跨平台 | 系统分析 | 基于 SQL 的操作系统查询 |
| **[MIG](https://github.com/mozilla/mig)** | 跨平台 | 分布式取证 | 实时调查 |
| **[Linux Explorer](https://github.com/intezer/linux-explorer)** | Linux | 实时分流 | 基于 Web 的界面 |
**🎯 用例示例:**
- **Velociraptor:** 同时在 1000+ 个端点上搜寻 IOC
- **GRR:** 远程收集受损系统的内存转储
- **osquery:** 实时查询所有进程、网络连接和自启动项
### 📦 证据获取
从系统和设备收集取证证据的工具。
#### 💻 系统级获取
- **[DFIR ORC](https://dfir-orc.github.io/)** - 具有可配置模块的 Windows 产物收集框架
- **[Artifact Collector](https://github.com/forensicanalysis/artifactcollector)** - 跨平台产物收集 Agent
- **[ArtifactExtractor](https://github.com/Silv3rHorn/ArtifactExtractor)** - VSC 和源镜像提取
- **[FastIR Collector](https://github.com/SekoiaLab/Fastir_Collector)** - Windows 分流收集
#### 🧠 内存获取
- **[AVML](https://github.com/microsoft/avml)** - 便携式 Linux 内存获取工具
- **[LiME](https://github.com/504ensicsLabs/LiME)** - 用于 Linux 内存转储的可加载内核模块
- **[Magnet RAM Capture](https://www.magnetforensics.com/resources/magnet-ram-capture/)** - 免费的 Windows 内存镜像工具
- **[Belkasoft RAM Capturer](https://belkasoft.com/ram-capturer)** ⭐ - Windows 易失性内存转储工具
- **[DumpIt](https://www.comae.com/dumpit/)** - 快速 Windows 内存获取
- **[FireEye Memoryze](https://www.fireeye.com/services/freeware/memoryze.html)** - 内存分析和获取
#### 📱 移动设备与云获取
- **[UFADE](https://github.com/prosch88/UFADE)** - Apple 设备提取
- **[Fuji](https://github.com/Lazza/Fuji)** - Mac 计算机的逻辑获取
**⚡ 快速方案:** Linux 服务器使用 AVML,Windows 工作站使用 Belkasoft RAM Capturer,iPhone 使用 UFADE。
### 💾 磁盘镜像与克隆
创建存储介质的取证级副本。
| 工具 | 平台 | 格式支持 | 特性 |
|------|----------|----------------|----------|
| **[Guymager](https://guymager.sourceforge.io/)** ⭐ | Linux | E01, AFF, DD | 多线程,GUI |
| **[FTK Imager](https://accessdata.com/product-download/ftk-imager-version-3-4-3/)** | Windows | E01, DD, AD1 | 免费,行业标准 |
| **[Belkasoft Image](https://belkasoft.com/es/bat)** ⭐ | 跨平台 | 多种格式 | HDD,移动设备,云端 |
| **[dc3dd](https://sourceforge.net/projects/dc3dd/)** | Linux | DD | 增强型 dd,支持哈希 |
| **[dcfldd](https://github.com/adulau/dcfldd)** | Linux | DD | 取证版 dd 分支 |
**📋 最佳实践:**
1. 始终校验哈希值 (MD5, SHA-1, SHA-256)
2. 对物理驱动器使用写保护设备
3. 记录监管链
4. 创建工作副本,保留原件
### 🔪 数据雕刻与恢复
从未分配空间提取文件和产物。
- **[PhotoRec](https://www.cgsecurity.org/wiki/PhotoRec)** ⭐ - 支持 480+ 种文件格式的文件雕刻
- **[bulk_extractor](https://github.com/simsong/bulk_extractor)** - 提取电子邮件、信用卡、URL 等
- **[Scalpel](https://github.com/sleuthkit/scalpel)** - 具有文件头/尾检测的快速文件雕刻器
- **[bstrings](https://github.com/EricZimmerman/bstrings)** - 增强型字符串提取(支持 Unicode)
- **[FLOSS](https://github.com/fireeye/flare-floss)** - 从恶意软件二进制文件中去混淆字符串
- **[swap_digger](https://github.com/sevagas/swap_digger)** - Linux 交换文件分析和凭证提取
**🔍 调查工作流:**
```
# Carve 已删除文件
photorec /d recovered_files /cmd image.dd
# 提取字符串和 IOC
bulk_extractor -o output image.dd
# 分析 swap 文件以获取凭据
./swap_digger.sh -x /dev/sda5
```
### 🧠 内存取证
分析 RAM 转储以查找恶意软件、凭证和正在运行的进程。
#### 🏆 核心框架
- **[Volatility 3](https://github.com/volatilityfoundation/volatility3)** ⭐ - 业内标准的内存分析工具
- **[Volatility 2](https://github.com/volatilityfoundation/volatility)** - 拥有广泛插件支持的旧版本
- **[Rekall](https://github.com/google/rekall)** - 高级内存取证框架
- **[MemProcFS](https://github.com/ufrisk/MemProcFS)** - 将内存作为虚拟文件系统
#### 🔧 专用工具
- **[VolUtility](https://github.com/kevthehermit/VolUtility)** - Volatility 的 Web 界面
- **[inVtero.net](https://github.com/ShaneK2/inVtero.net)** - 高速 Windows x64 内存分析
- **[KeeFarce](https://github.com/denandz/KeeFarce)** - 从内存中提取 KeePass 密码
- **[FireEye RedLine](https://www.fireeye.com/services/freeware/redline.html)** - 带内存分析的主机调查
**💉 常用 Volatility 命令:**
```
# 识别 profile
vol.py -f memory.dmp imageinfo
# 列出进程
vol.py -f memory.dmp --profile=Win10x64 pslist
# 检测恶意软件
vol.py -f memory.dmp --profile=Win10x64 malfind
# 提取进程内存
vol.py -f memory.dmp --profile=Win10x64 memdump -p 1234 -D output/
```
### 🌐 网络取证
捕获和分析网络流量以寻找入侵证据。
| 工具 | 用途 | 核心特性 |
|------|---------|--------------|
| **[Wireshark](https://www.wireshark.org/)** ⭐ | 数据包分析 | 3000+ 协议,深度检测 |
| **[NetworkMiner](https://www.netresec.com/?page=Networkminer)** | 网络取证 | 文件提取,凭证收集 |
| **[Xplico](https://www.xplico.org/)** | 流量重建 | 电子邮件,VoIP,HTTP 重建 |
| **[Zeek (Bro)](https://zeek.org/)** | 网络监控 | 可脚本化,元数据提取 |
**🎯 调查场景:**
- **数据窃取:** 使用 NetworkMiner 追踪大文件传输
- **凭证盗取:** 使用 Wireshark 过滤器提取 HTTP POST 数据
- **C2 通信:** 使用 Zeek 脚本识别心跳包
### 🪟 Windows 产物分析
解析 Windows 特有的证据(注册表、事件日志、MFT、Prefetch 等)。
#### 🔑 注册表分析
- **[RegRipper 3.0](https://github.com/keydet89/RegRipper3.0)** - 使用插件自动解析注册表
- **[FRED](https://www.pinguin.lu/fred)** - 跨平台注册表配置单元编辑器
- **[Registry Explorer](https://ericzimmerman.github.io/#!index.md)** - Eric Zimmerman 的带书签功能的注册表查看器
#### 📊 NTFS & MFT 分析
- **[MFTECmd](https://github.com/EricZimmerman/MFTECmd)** - 解析 $MFT 并输出 CSV
- **[NTFSTool](https://github.com/thewhiteninja/ntfstool)** - 完整的 NTFS 取证工具包
- **[python-ntfs](https://github.com/williballenthin/python-ntfs)** - 用于 NTFS 分析的 Python 库
- **[NTFS USN Journal Parser](https://github.com/PoorBillionaire/USN-Journal-Parser)** - 跟踪文件系统更改
- **[RecuperaBit](https://github.com/Lazza/RecuperaBit)** - 重建 NTFS 文件系统
#### 📜 事件日志分析
- **[EvtxECmd](https://github.com/EricZimmerman/evtx)** - 解析 Windows 事件日志
- **[python-evtx](https://github.com/williballenthin/python-evt)** - 解析 .evt 文件的 Python 解析器
- **[LogonTracer](https://github.com/JPCERTCC/LogonTracer)** - 可视化 Windows 登录事件
- **[Chainsaw](https://github.com/WithSecureLabs/chainsaw)** - 快速搜索和搜寻事件日志
#### 🔍 其他 Windows 产物
- **[PECmd](https://github.com/EricZimmerman/PECmd)** - Prefetch 解析器
- **[JLECmd](https://github.com/EricZimmerman/JLECmd)** - Jump List 解析器
- **[LECmd](https://github.com/EricZimmerman/LECmd)** - LNK 文件解析器
- **[AmcacheParser](https://github.com/EricZimmerman/AmcacheParser)** - Amcache.hve 分析
- **[LastActivityView](https://www.nirsoft.net/utils/computer_activity_view.html)** - 汇总用户活动时间线
- **[CrowdResponse](https://www.crowdstrike.com/resources/community-tools/crowdresponse/)** - 主机数据收集
**📂 关键产物位置:**
```
Registry Hives:
C:\Windows\System32\config\SAM
C:\Windows\System32\config\SYSTEM
C:\Windows\System32\config\SOFTWARE
C:\Users\{User}\NTUSER.DAT
Event Logs:
C:\Windows\System32\winevt\Logs\*.evtx
MFT:
C:\$MFT
Prefetch:
C:\Windows\Prefetch\*.pf
```
### 🍎 macOS 取证
用于分析 Apple Mac 系统的专用工具。
#### 📁 文件系统分析
- **[APFS Fuse](https://github.com/sgan81/apfs-fuse)** - Linux 的只读 APFS 驱动
- **[Disk Arbitrator](https://github.com/aburgh/Disk-Arbitrator)** - 防止在取证镜像过程中自动挂载
#### 🔍 产物解析器
- **[mac_apt](https://github.com/ydkhatri/mac_apt)** - macOS 产物解析工具
- **[APOLLO](https://github.com/mac4n6/APOLLO)** - Apple Pattern of Life Lazy Output
- **[MacLocationsScraper](https://github.com/mac4n6/Mac-Locations-Scraper)** - 提取位置数据库
- **[macMRU Parser](https://github.com/mac4n6/macMRU-Parser)** - 最近使用文件解析器
- **[OSXCollector](https://github.com/Yelp/osxcollector)** - 实时系统分流
- **[OSXAuditor](https://github.com/jipegit/OSXAuditor)** - 分析系统产物
#### 📚 参考材料
- **[MAC OSX Artifact Locations](https://docs.google.com/spreadsheets/d/1X2Hu0NE2ptdRj023OVWIGp5dqZOw-CfxHLOW_GNGpX8/)** - 全面的产物电子表格
**🍏 关键 macOS 产物:**
```
/private/var/db/locationd/ # Location services
/Library/Preferences/ # System preferences
~/Library/Application Support/ # App data
/var/log/system.log # System logs
~/.bash_history # Command history
```
### 📱 移动设备取证
从智能手机和平板电脑提取并分析证据。
#### 🤖 Android 分析
- **[ALEAPP](https://github.com/abrignoni/ALEAPP)** - Android 日志事件和 Protobuf 解析器
- **[Andriller](https://github.com/den4uk/andriller)** - Android 取证实用程序套件
- **[MobSF](https://github.com/MobSF/Mobile-Security-Framework-MobSF)** - 移动安全评估框架
#### 🍎 iOS 分析
- **[iLEAPP](https://github.com/abrignoni/iLEAPP)** - iOS 日志事件和首选项解析器
- **[iOS Frequent Locations Dumper](https://github.com/mac4n6/iOS-Frequent-Locations-Dumper)** - 提取位置数据
- **[OpenBackupExtractor](https://github.com/vgmoose/OpenBackupExtractor)** - 提取 iPhone 备份
- **[MEAT](https://github.com/jfarley248/MEAT)** - 移动证据获取工具包
#### 📲 跨平台
- **[Santoku Linux](https://santoku-linux.com/)** - 移动取证发行版
- **[Autopsy](https://www.autopsy.com/)** - 现已包含移动分析模块
**📱 获取方法:**
1. **逻辑获取:** 文件系统访问(iTunes 备份,ADB)
2. **文件系统获取:** 完整文件系统转储(需越狱/Root)
3. **物理获取:** 芯片拆解,JTAG(高级技术)
### 🐳 容器取证
分析 Docker 容器和 Kubernetes 环境。
- **[Docker Forensics Toolkit (dof)](https://github.com/docker-forensics-toolkit/toolkit)** - 从 Docker 主机提取产物
- **[Docker Explorer](https://github.com/google/docker-explorer)** - Docker 安装的取证分析
**🔍 关键容器产物:**
```
/var/lib/docker/containers/ # Container configs
/var/lib/docker/overlay2/ # Container layers
/var/lib/docker/volumes/ # Persistent volumes
~/.docker/config.json # Docker credentials
```
### 🌐 浏览器取证
提取浏览历史、Cookies、下载内容和缓存文件。
| 工具 | 支持的浏览器 | 核心特性 |
|------|-------------------|--------------|
| **[Hindsight](https://github.com/obsidianforensics/hindsight)** | Chrome/Chromium | 时间线分析,扩展追踪 |
| **[Dumpzilla](http://www.dumpzilla.org/)** | Firefox/Iceweasel | 完整配置文件提取 |
| **[ChromeCacheView](https://www.nirsoft.net/utils/chrome_cache_view.html)** | Chrome | 缓存查看器 (NirSoft) |
| **[chrome-url-dumper](https://github.com/eLoopWoo/chrome-url-dumper)** | Chrome | URL 历史提取 |
| **[unfurl](https://github.com/obsidianforensics/unfurl)** | 所有 | URL 解析和可视化 |
**🌐 浏览器产物位置:**
**Chrome/Chromium:**
```
Linux: ~/.config/google-chrome/Default/
Windows: %LOCALAPPDATA%\Google\Chrome\User Data\Default\
macOS: ~/Library/Application Support/Google/Chrome/Default/
```
**Firefox:**
```
Linux: ~/.mozilla/firefox/*.default/
Windows: %APPDATA%\Mozilla\Firefox\Profiles\*.default\
macOS: ~/Library/Application Support/Firefox/Profiles/
```
### ⏱️ 时间线分析
从多个数据源创建统一的时间线。
- **[Plaso (log2timeline)](https://github.com/log2timeline/plaso)** ⭐ - 提取时间戳并创建超级时间线
- **[Timesketch](https://github.com/google/timesketch)** - 协作式时间线分析
- **[DFTimewolf](https://github.com/log2timeline/dftimewolf)** - 编排取证收集和处理
- **[timeliner](https://github.com/airbus-cert/timeliner)** - Bodyfile 读取器和时间线生成器
**⏰ 时间线创建工作流:**
```
# 使用 plaso 提取时间戳
log2timeline.py timeline.plaso /evidence/image.dd
# 生成 CSV 输出
psort.py -o l2tcsv -w timeline.csv timeline.plaso
# 导入 Timesketch 进行分析
timesketch_importer --timeline_name "Case123" timeline.csv
```
### 💽 磁盘镜像管理
挂载、转换和管理取证磁盘镜像。
| 工具 | 能力 | 支持的格式 |
|------|-----------|-------------------|
| **[libewf](https://github.com/libyal/libewf)** | EWF 库 | E01, Ex01 |
| **[xmount](https://www.pinguin.lu/xmount)** | 格式转换 | E01, DD, AFF, VHD |
| **[OSFMount](https://www.osforensics.com/tools/mount-disk-images.html)** | Windows 挂载 | E01, DD, VMDK, VHD |
| **[imagemounter](https://github.com/ralphje/imagemounter)** | Python 挂载 | 多种格式 |
| **[PancakeViewer](https://github.com/forensicmatt/PancakeViewer)** | 镜像查看器 | E01, DD (基于 dfvfs) |
| **[Disk Arbitrator](https://github.com/aburgh/Disk-Arbitrator)** | macOS 挂载控制 | 取证程序 |
**🖥️ 挂载示例:**
```
# 以只读模式挂载 E01
ewfmount image.E01 /mnt/ewf
mount -o ro,loop /mnt/ewf/ewf1 /mnt/evidence
# 将 E01 转换为 DD
ewfexport -t output.dd image.E01
```
### 🔓 密码分析与解密
破解密码并解密受保护的数据。
| 工具 | 重点 | GPU 支持 |
|------|-------|-------------|
| **[Hashcat](https://hashcat.net/hashcat/)** | 密码破解 | ✅ CUDA, OpenCL |
| **[John the Ripper](https://www.openwall.com/john/)** | 密码破解 | ⚠️ 有限 |
| **[Ophcrack](https://ophcrack.sourceforge.io/)** | Windows 密码 | ❌ |
| **[Elcomsoft](https://www.elcomsoft.com/)** | 商业解密 | ✅ |
**🔑 哈希识别:**
```
# 识别 hash 类型
hashid '$2a$10$...'
# 使用 hashcat 破解 (mode 3200 = bcrypt)
hashcat -m 3200 -a 0 hashes.txt wordlist.txt
# 使用 John 破解
john --wordlist=rockyou.txt hashes.txt
```
### 📊 案件管理
组织调查、跟踪证据并管理工作流。
- **[dfirtrack](https://github.com/stuhli/dfirtrack)** - 用于管理受调查系统的 DFIR 跟踪应用程序
- **[Incidents](https://github.com/veeral-patel/incidents)** - 将安全调查组织为工单树的 Web 应用程序
- **[TheHive](https://github.com/TheHive-Project/TheHive)** - 安全事件响应平台
- **[Cortex](https://github.com/TheHive-Project/Cortex)** - 可观察对象分析和响应引擎
### 🖼️ 图像分析
分析数码照片和图像以寻找取证证据。
- **[Ghiro](http://www.getghiro.org/)** - 自动化图像取证分析
- **[ExifTool](https://exiftool.org/)** - 读写图像和文件的元数据
- **[Forensically](https://29a.ch/photo-forensics/)** - 在线照片取证工具
- **[FotoForensics](https://fotoforensics.com/)** - 用于检测篡改的误差等级分析
**📸 EXIF 提取:**
```
# 提取所有 metadata
exiftool -a -G1 -s image.jpg
# 查找 GPS 坐标
exiftool -gps:all image.jpg
# 清除 metadata
exiftool -all= image.jpg
```
### 元数据取证
- [ExifTool](https://exiftool.org/) by Phil Harvey
- [Exiv2](https://www.exiv2.org) - Exiv2 是一个跨平台 C++ 库和命令行实用程序,用于管理图像元数据
- [FOCA](https://github.com/ElevenPaths/FOCA) - FOCA 是一种主要用于查找文档中的元数据和隐藏信息的工具
### 网站取证
- [Freezing Internet Tool](https://github.com/fit-project/fit) - Python 3 应用程序,用于在线内容的取证获取,包括网页、电子邮件和社交媒体。
## 学习取证
- [Forensic challenges](https://www.amanhardikar.com/mindmaps/ForensicChallenges.html) - 取证挑战思维导图
- [OpenLearn](https://www.open.edu/openlearn/science-maths-technology/digital-forensics/content-section-0?active-tab=description-tab) - 数字取证课程
- [Training material](https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational) - 欧洲网络与信息安全局提供的在线培训材料,涵盖不同主题(例如 [数字取证](https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational/#digital_forensics),[网络取证](https://www.enisa.europa.eu/topics/trainings-for-cybersecurity-specialists/online-training-material/technical-operational/#network_forensics))
### 挑战
- [AnalystUnknown Cyber Range](https://aucr.io/auth/login?next=%2F)
- [Champlain College DFIR CTF](https://champdfa-ccsc-sp20.ctfd.io)
- [Corelight CTF](https://www3.corelight.com/l/420832/2020-03-31/lcxk2q)
- [CyberDefenders](https://cyberdefenders.org)
- [DefCon CTFs](https://archive.ooo) - DEF CON CTF 挑战存档。
- [Forensics CTFs](https://github.com/apsdehal/awesome-ctf/blob/master/README.md#forensics)
- [IncidentResponse Challenge](https://incident-response-challenge.com)
- [MagnetForensics CTF Challenge](https://www.magnetforensics.com/blog/magnet-weekly-ctf-challenge)
- [MalwareTech Challenges](https://www.malwaretech.com/challenges)
- [MalwareTraffic Analysis](https://www.malware-traffic-analysis.net/training-exercises.html)
- [MemLabs](https://github.com/stuxnet999/MemLabs)
- [NW3C Chanllenges](https://nw3.ctfd.io)
- [PivotProject](https://pivotproject.org/challenges/digital-forensics-challenge)
- [Precision Widgets of North Dakota Intrusion](https://betweentwodfirns.blogspot.com/2017/11/dfir-ctf-precision-widgets-of-north.html)
- [ReverseEngineering Challenges](https://challenges.re)
- [SANS Forensics Challenges](https://digital-forensics.sans.org/community/challenges)
## 资源
### 网站
- [ForensicsFocus](https://www.forensicfocus.com/)
- [InsecInstitute Resources](https://resources.infosecinstitute.com/)
- [SANS Digital Forensics](https://digital-forensics.sans.org/)
### 博客
- [Cyberforensics](https://cyberforensics.com/blog/)
- [Cyberforensicator](https://cyberforensicator.com/)
- [DigitalForensicsMagazine](https://digitalforensicsmagazine.com/blogs/)
- [FlashbackData](https://www.flashbackdata.com/blog/)
- [Netresec](https://www.netresec.com/index.ashx?page=Blog)
- [roDigitalForensics](标签:AI合规, CTF工具, DAST, ESC4, HTTPS请求, HTTP请求, JARM, Linux取证, macOS取证, OSINT, SecList, Windows取证, 云资产清单, 内存分析, 内存取证, 加密分析, 多线程, 容器取证, 工具集, 库, 应急响应, 恶意软件分析, 操作系统取证, 数字取证, 数据恢复, 数据雕刻, 案卷管理, 浏览器取证, 漏洞分析, 漏洞搜索, 电子取证, 磁盘取证, 移动取证, 移动设备取证, 网络安全, 网络连接监控, 自动化脚本, 解密工具, 证据采集, 请求拦截, 路径探测, 逆向工具, 逆向工程, 镜像制作, 隐私保护