Tejchaute/DFIR-Portfolio

# DFIR 作品集 — Tej Chaute ## 关于 本仓库记录了我探索数字取证与事件响应的历程。这里的每个案例都是我亲自处理的真实调查——不仅仅是完成挑战，而是包含工件表格、事件时间线和已记录方法论的完整报告。 我在 2026 年初开始创建这个仓库，以此作为迈向成为 DFIR 分析师的结构化学习路径的一部分。每个案例文件夹都包含一份详细报告，记录了我的发现、使用的工具以及我从中获得的实际经验教训——采用通俗易懂的语言进行编写，而非教科书式的生硬表述。 ## 案例 | # | 案例 | 证据类型 | 平台 | 难度 | 核心技能 | |---|------|--------------|----------|------------|------------| | 01 | [Hunter](./01-Hunter/) | Windows 磁盘镜像 | CyberDefenders | 中等 | Registry、Prefetch、Skype DB、反取证 | | 02 | [Insider](./02-Insider/) | Linux 磁盘镜像 | CyberDefenders | 简单 | Bash history、auth logs、FTK Imager | | 03 | [Seized](./03-Seized/) | Linux 内存转储 | CyberDefenders | 中等 | Volatility 2、rootkit 检测、SSH 持久化 | *随着我在学习路径上的不断推进，将会添加新的案例。* ## 目前已掌握的技能 **磁盘取证** - Windows 工件分析 — Registry 配置单元（SAM、SYSTEM、NTUSER.DAT）、Prefetch 文件、LNK 文件、UserAssist、Jump Lists、Shellbags、Recycle Bin - Linux 取证 — bash history、auth logs、dpkg logs、cron jobs、文件系统工件恢复 - 使用 FTK Imager 和 Autopsy 进行镜像获取与分析 **内存取证** - 针对 Linux 内存转储使用 Volatility 2 — 进程树、网络连接、bash history、syscall 表检查、内核模块分析 - 从 RAM 中识别活跃的 C2 连接、reverse shell 和 rootkit - 恢复磁盘上不存在的工件 **调查与报告** - 编写正式的 DFIR 报告 — 工件表格、事件时间线、证据保管链 - 从跨多个工件来源的原始证据中重建攻击链 - 按照专业标准记录方法论 ## 工具集 | 类别 | 工具 | |----------|-------| | 磁盘分析 | Autopsy, FTK Imager, Sleuth Kit | | 内存分析 | Volatility 2, strings, grep | | Registry 解析 | RegRipper, Registry Explorer | | 文件恢复 | Foremost, PhotoRec | | 浏览器取证 | DB Browser for SQLite, Hindsight | | 日志解析 | EvtxECmd, JLECmd, WinPrefetchViewer | | 网络取证 | Wireshark, NetworkMiner *(学习中)* | | 环境 | SIFT Workstation (Ubuntu) | ## 学习路径 ``` Phase 1 — Foundations [Completed] OS internals, networking, Linux, Python basics Phase 2 — Core Forensics [In Progress] Disk, memory, network, mobile forensics ``` ## 联系方式 - LinkedIn: [linkedin.com/in/tej-chaute](https://www.linkedin.com/in/tej-chaute) - 报告已作为 PDF 附在每个案例文件夹中

标签：Autopsy, CyberDefenders, DAST, FTK Imager, GhostArchive, HTTPS请求, HTTP请求, Linux取证, SecList, Web归档检索, Windows取证, 云资产清单, 内存取证, 取证分析师, 安全学习, 安全报告, 库, 应急响应, 恶意软件分析, 攻击链还原, 数字取证, 数据包嗅探, 磁盘取证, 网络安全, 网络安全工程师, 自动化脚本, 证据保全, 逆向工程, 隐私保护