redzeptech/bozkurt-izi-main

``` BOZKURT İZİ | Windows DFIR ---------------------------- /\_/\ ( •_• ) o o o / > < \ o o o o o o o ``` ## Bozkurt İzi — 愿景 Bozkurt İzi 是一个开源 framework，旨在通过**模块化**、**可重复**且**注重证据完整性**的方法，标准化 Windows 系统上的事件响应和数字取证 (DFIR) 流程。其目标是取代由零散“script”组成的碎片化工具，将来自不同 artefact 源（Event Logs、文件系统、telemetry 等）的数据**整合到统一 schema 中**，并安全地将其导入时间线、关联分析和报告生成步骤。 这是一个 **Windows DFIR** 项目。我们的开发理念是： - **符合取证标准**：输出中包含 provenance（来源/文件路径、record id 等）以及面向分析师的可读性。 - **数据完整性**：将 hash/manifest 生成、打包和验证步骤作为 pipeline 的固有部分。 - **最小 footprint (OPSEC)**：将输出引导至外部介质而非目标磁盘，减少不必要的写入/log 生成，并执行受控清理。 ### Key Features (核心特性) | Feature | 描述 | 命令/输出 | |---|---|---| | Pipeline CLI | 收集 → normalize → timeline → 分析 → 报告 | `python bozkurt.py full` | | Normalize event format | 通过统一事件 schema 生成 `events.jsonl` | `ciktilar/normalized/events.jsonl` | | RDP 攻击分析 | Brute-force / password-spray 检测 (MVP) | `raporlar/rdp_alerts.csv` | | Timeline 生成 | `events.jsonl` → 合并 timeline CSV | `raporlar/timeline.csv` | | Timeline MD 摘要 | 从 Timeline 生成快速可读的 Markdown 摘要 | `python bozkurt.py timeline-md` → `raporlar/timeline.md` | | EVTX normalizer | 将不同 EVTX 转换为统一 JSON schema（timestamp, event_id, source, description, user） | `python bozkurt.py evtx-normalize` → `*.jsonl` | | SHA256 manifest + AES ZIP | `ciktilar/manifest.txt` + 加密输出包 | `python bozkurt.py secure-package` | | 打包 (ZIP + manifest) | 将输出打包为单个 ZIP 并附带 manifest | `python bozkurt.py package` | | Cleanup (dry-run) | 对生成的输出进行受控清理 | `python bozkurt.py cleanup` | | OPSEC 选项 | 减少写入/痕迹并重定向至外部目录 | `--base-dir`, `--opsec-min`, `--no-logs`, `--no-metrics` | ## 土耳其语 DFIR Framework Bozkurt İzi 是一个开源 DFIR framework，旨在在 Windows 系统上进行 artefact 分析、timeline 生成、事件关联和自动生成分析报告。 # Bozkurt İzi        ## 🚧 项目状态 Bozkurt İzi 处于活跃开发阶段。 该 Framework 目前包含基本的 artefact 分析模块、timeline 生成和首个关联引擎。架构层级正在开发中，项目处于研究和开发过程。 新功能和架构改进正按照 roadmap 推进。 **Bozkurt İzi** 是一个开源土耳其语分析 framework，专为在 Windows 系统上进行数字取证 (DFIR) 分析而开发。 该 Framework 旨在自动化 artefact 分析、时间线生成、事件关联和分析报告生成流程。 ## 特性 - USB artefact 分析 - MountedDevices registry 分析 - SetupAPI 设备历史分析 - Prefetch 执行历史分析 - Timeline 生成 - 关联引擎 - Markdown 分析报告生成 ## 架构流程 ``` flowchart LR A[Windows Artifacts] --> B[Analysis Modules] B --> B1[USB Artifact Analysis] B --> B2[MountedDevices Analysis] B --> B3[SetupAPI Parser] B --> B4[Prefetch Analysis] B1 --> C[Timeline Engine] B2 --> C B3 --> C B4 --> C C --> D[timeline.csv] D --> E[Correlation Engine] E --> F[correlation_alerts.csv] D --> G[Report Generator] F --> G G --> H[bozkurt_report.md] ``` Bozkurt İzi 旨在将 Windows artefact 通过模块化分析层处理，生成时间线、关联输出和可读的分析报告。 ## 项目结构 ``` bozkurt-izi │ ├─ bozkurt.py │ ├─ engine │ ├─ timeline_engine.py │ ├─ correlation_engine.py │ └─ case_manager.py │ ├─ modules │ ├─ prefetch_analysis.py │ ├─ usb_artifact_analysis.py │ ├─ mounted_devices_analysis.py │ └─ setupapi_parser.py │ ├─ core │ └─ report_generator.py │ ├─ collectors │ └─ collect_rdp_events.ps1 │ ├─ output │ └─ (analiz çıktıları) │ ├─ cases │ └─ (case klasörleri) │ └─ docs ``` ## 安装 克隆项目： ``` git clone https://github.com/redzeptech/bozkurt-izi.git cd bozkurt-izi ``` 建议使用 Python 3.10+。 ## 用法 ### 创建新分析案例 ``` python bozkurt.py case ``` ### Prefetch 分析 ``` python bozkurt.py prefetch ``` ### USB artefact 分析 ``` python bozkurt.py usb ``` ### MountedDevices 分析 ``` python bozkurt.py mounted ``` ### SetupAPI 设备历史 ``` python bozkurt.py setupapi ``` ### 创建 Timeline ``` python bozkurt.py timeline ``` ### 关联分析 ``` python bozkurt.py correlate ``` ### 生成分析报告 ``` python bozkurt.py report ``` ### 运行完整 pipeline ``` python bozkurt.py full ``` ### Legacy / 兼容性说明 `engine/analyze_rdp.py` 文件作为 **legacy (向后兼容) wrapper** 保留。在新的开发中，推荐使用 **`bozkurt.py` 命令**（特别是 `python bozkurt.py full`）。 ### OPSEC (最小 footprint) 示例 为了将输出重定向到**外部磁盘/USB** 而不是目标磁盘，并减少执行期间的文件写入： ``` # 写入外部磁盘 + 最小磁盘日志 + 打包 (manifest + SHA256) python bozkurt.py --base-dir "E:\bozkurt_case01" --opsec-min --no-logs --no-metrics full --max-events 5000 --package --zip-path "E:\bozkurt_case01\bozkurt_package.zip" ``` 清理打包后留在工作目录中的输出（**默认 dry-run**）： ``` python bozkurt.py cleanup python bozkurt.py cleanup --cleanup-execute ``` 通过单条命令实现“打包 → 本地清理”（清理需要 `--cleanup-execute`）： ``` python bozkurt.py full --package --zip-path "raporlar\bozkurt_package.zip" --cleanup --cleanup-execute ``` ## 示例场景 此 repo 下包含的示例文件旨在模拟真实的事件调查，并在开发/测试过程中快速验证输出。它们**不作为取证证据使用**；仅用于教育/演示目的。 - **RDP 攻击场景 (brute force → 成功)**: `ornek-veri/rdp_brute_force_scenario.jsonl` - **代表内容**: 5 分钟内密集的 `4625` (登录失败) 尝试，紧接着是 `4624` (登录成功)。此模式可能表示 brute-force 或 password-spray 后凭据被盗。 - **目的**: 演示 RDP 相关的检测/规则和关联方法。 - **Mini timeline 示例 (Event Log + MFT + Sysmon)**: `ornek-veri/timeline_sample.csv` - **代表内容**: - `12:00:01` 通过 RDP 登录 (Event Log) - `12:00:15` 下载 `mimikatz.exe` (MFT 痕迹) - `12:00:20` 访问 LSASS 内存 (Sysmon Event 10) - **目的**: 展示如何将来自多个来源的发现整合到时间线中。 - **报告模板**: `ciktilar/ornek_rapor.md` - **代表内容**: 分析完成后生成的报告的格式/标题标准示例草案。 - **目的**: 标准化报告语言和构建块（摘要、关键发现、完整性、建议）。 ## 生成的输出 分析完成后，`output` 文件夹中将生成以下文件： ``` output/ ├─ timeline.csv ├─ correlation_alerts.csv ├─ usb_artifacts.csv ├─ prefetch_timeline.csv └─ bozkurt_report.md ``` ## 项目愿景 Bozkurt İzi 的长期目标不仅仅是成为一个分析 Windows artefact 的工具，而是构建一个 DFIR 调查引擎，通过揭示这些 artefact 之间的关系来帮助理解事件的上下文。 该 Framework 旨在随着时间推移，发展成为一个能够执行 artefact 分析 → 时间线 → 事件关联 → 行为聚类 → 自动分析报告的 investigation engine。 ## 目标 Bozkurt İzi 的目标是： - 为土耳其语 DFIR 工具生态系统做出贡献 - 简化 Windows artefact 分析 - 支持开源 DFIR 工具开发文化 ## 路线图 计划中的开发： - HTML 报告生成 - JSON 报告输出 - 高级关联规则 - 额外的 Windows artefact 模块 - SIEM 集成 ## 许可证 本项目采用 MIT License 授权。 ## 示例报告 示例输出即将推出。 ## 示例输出 Bozkurt İzi 分析完成后可以生成如下报告： [USB Activity Detected] Device Install: USB Storage device detected in SetupAPI logs. MountedDevices Update: New device mapping created in registry. Prefetch Execution: Program execution observed after device connection. Possible removable media activity detected. 此输出旨在帮助理解 artefact 之间的关系。

标签：AI合规, CIDR输入, Conpot, EVTX解析, JSONL格式, OPSEC, Python安全工具, RDP取证, Windows DFIR, Windows安全, 事件关联分析, 事件响应自动化, 事件日志分析, 二进制发布, 免杀技术, 哈希校验, 密码喷洒检测, 库, 应急响应, 开源工具, 数字取证, 日志标准化, 时序数据库, 时间线重构, 暴力破解检测, 最小化痕迹, 模块化设计, 网络安全, 自动化修复, 自动化取证, 自动化脚本, 艺术品分析, 规范化数据, 证据固定, 证据完整性, 远程桌面取证, 逆向工具, 防御加固, 隐私保护