Nflba4888/ADFT

GitHub: Nflba4888/ADFT

一款离线 Active Directory 取证工具,通过分析 Windows 事件日志检测 AD 攻击、重建攻击时间线并评估暴露风险。

Stars: 0 | Forks: 0

# 🛠️ ADFT - 在事件日志中发现 AD 攻击 [![下载 ADFT](https://img.shields.io/badge/Download-Release%20Page-blue.svg?style=for-the-badge)](https://github.com/Nflba4888/ADFT/releases) ## 📥 下载 ADFT 访问发布页面以下载并在 Windows 上运行此应用: https://github.com/Nflba4888/ADFT/releases 选择最新版本,然后从 Assets 列表中下载 Windows 文件。 ## 🖥️ ADFT 的功能 ADFT 可帮助您检查 Windows 事件日志,以寻找 Active Directory 攻击的迹象。它读取 EVTX 文件,并帮助您追溯事件发生的过程。 在以下情况下使用它: - 审查安全日志 - 发现 Active Directory 中的攻击痕迹 - 从 Windows 事件日志重建时间线 - 支持事件响应工作 - 协助 DFIR 和威胁狩猎 ## ✅ 开始之前 请使用满足以下条件的 Windows PC: - Windows 10 或 Windows 11 - 具有运行应用权限的账户 - 足够的可用空间以存放事件日志 - 有权访问您要检查的 EVTX 文件 如果 Windows SmartScreen 弹出提示,请仅当您是从上述发布页面获取该应用时才选择运行它。 ## 🚀 获取应用 1. 打开发布页面: https://github.com/Nflba4888/ADFT/releases 2. 找到页面顶部的最新版本 3. 展开 **Assets** 部分 4. 下载 Windows 文件 5. 将其保存到您可以轻松访问的文件夹中,例如 `Downloads` 6. 如果文件位于 ZIP 压缩包中,请先将其解压 7. 双击应用以运行它 如果 Windows 请求权限,请选择 **是**。 ## 🧭 首次运行 当 ADFT 打开时,请将路径指向您要检查的日志文件。 典型文件包括: - 来自服务器或工作站的 `.evtx` 文件 - 安全团队导出的日志 - 包含多个事件日志的归档文件夹 如果应用要求提供案例文件夹或输出文件夹,请选择一个有足够空间的新文件夹。 ## 📂 如何使用 ADFT 1. 启动应用 2. 选择您的事件日志文件或文件夹 3. 选择您要审查的日志集 4. 开始扫描 5. 审查事件和警报 6. 使用时间线视图追踪攻击路径 7. 如需分享,请导出结果 该工具包旨在帮助您查找: - 账户滥用 - 可疑的登录活动 - 目录更改 - 权限更改 - 跨多个日志的攻击步骤 ## 🔍 重点关注 在审查结果时,请重点关注: - 新增的管理员权限 - 成功登录前的失败尝试 - 异常的账户更改 - 来自未知主机的远程访问 - 对组、用户或权限的更改 - 异常时段的登录活动 这些线索可以帮助您重建攻击的路径。 ## 🗂️ 示例工作流 一个简单的审查流程如下: 1. 收集 `.evtx` 文件 2. 打开 ADFT 3. 将文件加载到工具中 4. 扫描 Active Directory 攻击迹象 5. 检查事件列表 6. 按时间排序 7. 保存输出以供日后审查 ## ⚙️ 基本技巧 - 保持原始日志不被修改 - 尽可能在副本上操作 - 为每个案例使用清晰的文件夹名称 - 将相关日志集中存放 - 按时间顺序审查输出 - 在需要时跨多台机器对比事件 ## 🧰 常见用例 ADFT 非常适用于: - 事件响应 - 内部安全检查 - 蓝队分析 - 取证审查 - SIEM 验证 - 威胁狩猎 ## 🛠️ 如果应用无法打开 请尝试以下步骤: - 右键单击文件并选择 **以管理员身份运行** - 确保下载已完成 - 检查是否有 ZIP 文件并已解压 - 确认您是从发布页面下载的 Windows 版本 - 尝试使用包含较少特殊字符的不同文件夹路径 ## 📁 可能使用的文件类型 ADFT 专为 Windows 事件日志设计,尤其适用于: - `EVTX` 文件 - 导出的安全日志 - 来自案例文件夹的日志包 在开始之前,请将文件集中存放在一处。这会使审查更加容易。 ## 🧩 处理 Active Directory 日志 Active Directory 日志可能非常大。ADFT 通过对相关事件进行分组并展示随时间变化的攻击模式,帮助您理清它们。 您可能会看到与以下内容相关的事件: - 登录尝试 - 账户更改 - 组更改 - 服务使用 - 远程活动 - 策略更改 这使您更容易看清攻击者是如何在环境中进行横向移动的。 ## 📌 良好实践 - 使用日志的副本进行分析 - 在审查事件时做好笔记 - 保存输出时附带案例名称和日期 - 同时检查时间线和事件列表 - 当案件需要时,审查多台机器 ## 🔗 再次下载 在此处下载或打开最新版本: https://github.com/Nflba4888/ADFT/releases ## 🧱 项目重点 - Active Directory - 蓝队工作 - DFIR - EVTX 审查 - 取证 - 事件响应 - 基于 Python 的分析 - SIEM 支持 - 威胁狩猎 - Windows 安全
标签:Active Directory, EVTX分析, JSONL转换, Modbus, PFX证书, Plaso, Windows事件日志, 安全取证, 安全运营, 库, 应急响应, 扫描框架, 攻击检测, 数字取证, 无线安全, 时间线重建, 暴露面评分, 本地Web UI, 模拟器, 网络安全, 自动化脚本, 逆向工具, 隐私保护