Latteflo/home-dfir-lab

# 家庭 DFIR 实验室 一个结构化、实战型的数字取证与事件响应 (DFIR) 实验室，旨在 开发并展示实用的蓝队技能：使用 Volatility 3 进行内存取证，使用 Splunk SIEM 进行基于日志的威胁检测，以及在隔离的 Linux 沙箱中进行恶意软件分析。 该实验室的建立是为了用真实、有记录且可复现的工作来支持求职申请中的能力声明——而非仅凭证书。 ## 本实验室展示了什么 | 能力 | 实现 | |---|---| | 内存取证 | 使用 Volatility 3 分析真实的内存转储 (MemLabs 案例) | | SIEM 检测工程 | 在 Docker 上运行的 Splunk，摄取实时日志，并保存检测规则 | | 恶意软件分析工作流 | 基于 REMnux 的静态分析 pipeline 及其记录的输出 | | 事件报告 | 基于专业 IR 方法论构建的结构化案例报告 | ## 结构 - [`volatility/`](volatility/) — Volatility 3 设置、命令参考和案例调查 - [`splunk/`](splunk/) — Docker Compose 部署，以 `.conf` 文件形式保存的检测规则 - [`sandbox/`](sandbox/) — REMnux 静态分析工作流 ## 案例调查 | 案例 | 恢复的 Artefacts | 报告 | |---|---|---| | MemLabs 实验 1 | 进程树（2 个会话），NTLM 哈希（5 个账户），WinRAR 存档 artefact，DumpIt.exe 捕获链 | [报告](volatility/cases/memlab-case1.md) | | MemLabs 实验 2 | 内存中的 KeePass 数据库 (`Hidden.kdbx`)，Notepad 打开二进制凭据存储，NTLM 哈希 | [报告](volatility/cases/memlab-case2.md) | | MemLabs 实验 3 | 桌面上的 `evilscript.py`，双重 Notepad 查看，msiexec 安装 artefacts，x86 PAE 镜像 | [报告](volatility/cases/memlab-case3.md) | | 挑战 | 活跃的 cmd.exe 会话，最小进程集，已确认的 NT 哈希轮换（对比实验 3） | [报告](volatility/cases/challenge-case.md) | ## 检测规则 (Splunk) | 规则 | 技术 | 文件 | |---|---|---| | SSH 暴力破解 | T1110.001 | [`ssh_brute_force.conf`](splunk/detections/ssh_brute_force.conf) | | Sudo 权限提升 | T1548.003 | [`sudo_escalation.conf`](splunk/detections/sudo_escalation.conf) | | 重复登录失败 | T1078 | [`repeated_failed_logins.conf`](splunk/detections/repeated_failed_logins.conf) | ## 环境 - 操作系统：NixOS (基于 flake) - 运行时：Docker (无 Windows 虚拟机；所有沙箱化均在 Linux 原生环境下进行) - 取证工具：通过 nix-shell + Python 运行 Volatility 3 - SIEM：Splunk Enterprise (Docker Compose) - 沙箱：REMnux Docker 镜像 ## 状态 请参阅 [PROGRESS.md](PROGRESS.md) 获取已完成和待处理工作的详细清单。

标签：DAST, Docker, Docker Compose, KeePass, meg, MemLabs, NTLM哈希, REMnux, SecList, Volatility 3, 事件报告, 云安全监控, 信息安全, 内存取证, 安全实验室, 安全防御评估, 库, 应急响应, 恶意软件分析, 数字取证与事件响应, 沙箱, 网络安全, 请求拦截, 进程树分析, 逆向工具, 隐私保护, 静态分析