redzeptech/Bozkurt-Alfa-Dfir-Evidence

# 🔍 Bozkurt-Alfa DFIR Engine v2.0 ## 📋 目录 - [概述](#-genel-bakış) - [架构](#️-mimari) - [特性](#-özellikler) - [安装](#️-kurulum) - [用法](#-kullanım) - [输出格式](#-çıktı-formatları) - [威胁签名](#-tehdit-i̇mzaları) - [开发](#-geliştirme) - [取证合规性](#-forensic-soundness) - [故障排除](#️-sorun-giderme) - [许可证](#lisans) ## 🎯 概述 **Bozkurt-Alfa** 是一个用于自动化 Windows 系统数字取证分析的时间线和关联引擎。 系统： - 收集痕迹 - 分析行为 - 检测威胁 - 生成报告 ### 目标 - 🔒 证据完整性（只读运行） - ⚡ 高性能 - 🧠 基于行为的分析 - 🧩 模块化架构 ## 🏗️ 架构 ``` Collectors → Rules → Reporting ``` ### 层级 **1. 证据收集 (`collectors/`)** - 注册表只读访问 - 痕迹收集 - 时间戳标准化 **2. 威胁分析 (`rules/`)** - 模式匹配 - LOLBin 检测 - 严重性分类 **3. 报告 (`Alfa.py`)** - 流程编排 - HTML + JSON 输出 - 发现结果管理 ## ✨ 特性 ### 🔐 注册表持久化分析 - Run Keys 分析 - 启动项持久化检测 - 可疑路径检查 - 严重性评分 ### LOLBin 滥用检测 | 工具 | 模式 | 严重性 | | -------------- | ----------------- | -------- | | powershell.exe | -enc | 高 | | certutil.exe | -urlcache | 高 | | cmd.exe | 可疑父进程 | 高 | | mshta.exe | 远程执行 | 高 | ### 🔗 进程链分析 - 父子进程分析 - Office → Shell 检测 - 宏攻击检测 ### 📊 时间线关联 - UTC 标准化 - 时序分析 - 证据关联 ## ⚙️ 安装 ### 系统要求 - Windows 10/11 或 Server - Python 3.9+ - 管理员权限 ### 安装步骤 ``` git clone https://github.com/redzeptech/timeline-engine-v2.git cd timeline-engine-v2 pip install -r requirements.txt ``` **管理员 PowerShell:** ``` Start-Process powershell -Verb RunAs ``` ## 🚀 用法 ### 快速开始 ``` python Alfa.py ``` ### 预期输出 ``` [INFO] Starting DFIR pipeline... [INFO] Collecting evidence... [INFO] Analyzing events... [INFO] Generating reports... Evidence: 8 Findings: 4 ``` ### 自定义事件分析 ``` from Alfa import Alfa events = [ { "parent_process": "winword.exe", "process_name": "powershell.exe", "cmdline": "powershell.exe -enc ..." } ] alfa = Alfa(output_dir="./output") results = alfa.run_full_analysis(test_events=events) ``` ## 📊 输出格式 ### HTML 报告 - 执行摘要 - 严重性分布 - 时间线表格 - 发现结果列表 ### JSON 输出 ``` { "metadata": {}, "evidence": [], "findings": [], "statistics": {} } ``` ## 🎯 威胁签名 ### Office → Shell 执行 ``` parent_process IN (winword.exe, excel.exe) AND child_process IN (powershell.exe, cmd.exe) ``` ### LOLBin 滥用 ``` certutil.exe -urlcache powershell.exe -enc ``` ### 注册表持久化 ``` HKLM\Software\Microsoft\Windows\CurrentVersion\Run ``` ## 🧑‍💻 开发 ### 新增收集器 ``` class EVTXCollector: def collect(self): return [] ``` ### 新增规则 ``` def check_dll_injection(event): if "CreateRemoteThread" in event.get("api_call", ""): return {"severity": "critical"} ``` ## 🔒 取证合规性 - 只读运行 - SHA256 完整性 - UTC 时间戳标准 - 保持监管链 ## 🛠️ 故障排除 **访问被拒绝** **模块错误** ``` pip install -r requirements.txt ``` ## 许可证 本项目依据 [LICENSE](LICENSE) 文件中指定的许可条款进行分发。

标签：ATT&CK框架, Conpot, DAST, DNS 反向解析, ESC漏洞, Homebrew安装, HTML报告生成, HTTPS请求, LOLBins检测, Python安全工具, Windows取证, Windows安全, 取证工具, 多模态安全, 库, 应急响应, 恶意软件分析, 持久化分析, 搜索语句（dork）, 数字取证, 注册表分析, 知识库安全, 自动化取证, 自动化脚本, 证据收集, 进程链分析, 逆向工具