BLACKBIRD Beta v1.2

Windows DFIR 内核遥测与检测平台

# BLACKBIRD Blackbird 是一个适合所有人（从 SOC 到个人爱好者）的恶意软件分析平台。BK 将许多工具和概念统一到一个完整的平台中，并通过利用其自有的内核驱动程序，提供了比传统工具更高的可见性和更强的能力。BK 通过提供简单的安装方式和详细的界面来控制和观察一切，从而消除了其他内核模式工具的复杂性。 ## 操作面板 主界面是所有操作的监管者，它汇集了以下内容： - 事件与事件日志 - 性能计数器 - 网络观测 - 线程观测 - 内存观测、检查器与树状图 - 模块信息 - PE 信息 - ETW 源 - 启发式分析 - 文件系统事件 - 进程关系 - 上行链路性能 ## 证据与替代视图 为了进行更深入的检查，BK 在双击集合时提供检查器视图，这将打开一个窗口，展示事件背后的细节，以及请求时的原始数据。 关键视图包括： - **ETW 检查器** 查看分组的 ETW 事件并检查丰富的事件详情。 - **句柄证据** 检查可疑的句柄活动、访问掩码、来源上下文、捕获的帧、内存区域详情以及相关的 payload 数据。 - **线程堆栈** 在实时捕获期间或浏览历史样本时查看堆栈快照。 - **进程关系** 查看行为者与目标之间的关系，例如可疑的打开操作、远程线程活动以及关联的意图链。 - **文件检查器** 查看目标访问和创建的文件。 ## API HOOKING 视图 BK 在“视图，切换视图”中提供了一个替代视图，用于查看由用户态传感器捕获的 API hooks。 ## 覆盖范围 代表性检测包括： - 直接系统调用 - 句柄打开 - 内存查询 - 读写内存 - 手动映射 - AMSI 与 ETW 补丁 - hook 补丁 - 文件投放 - 文件打开、读取、创建、特殊属性 - 堆栈完整性异常 - 线程创建 - 主映像之外的远程线程活动 - 线程劫持和线程上下文滥用 - 远程 APC (Asynchronous Procedure Calls) - 进程镂空 与注入意图链 - 可疑的 `ntdll` 映像路径或映射行为 - 多个 `ntdll` 映像映射 - 注册表活动 有关完整的契约和字段级详细信息，请参阅 [API.md](./API.md)。

## 快速开始 请参阅以下文档进行设置和使用： - [Getting Started.md](./Getting%20Started.md) - [INSTALL.md](./INSTALL.md) - [USAGE.md](./USAGE.md) - [API.md](./API.md)

标签：Beacon Object File, Blackbird, C++, CSV输出, DAST, EDR, ETW, HTTP工具, IOCTL, KMDF, Mr. Robot, SecList, Windows内核, 事件追踪, 内存取证, 内核驱动, 反病毒, 句柄追踪, 启发式分析, 多人体追踪, 威胁情报, 安全运营, 开发者工具, 异常检测, 恶意软件分析, 扫描框架, 数据包嗅探, 数据擦除, 文件系统监控, 无线安全, 白帽子, 网络协议, 网络安全审计, 网络观测, 脆弱性评估, 远程线程检测