pavolkluka/soc-toolkit

# soc-toolkit 一组面向 SOC 分析员和 DFIR 从业者的分类与分析脚本集合。 **主要环境：** REMnux | **也适用于：** 基于 Debian/Ubuntu 的 Linux ## 工具 ### file-triage.sh 自动化文件分类：哈希计算、元数据提取、威胁情报查询 （通过 malwoverview）以及针对 Office 文档、PDF 等格式的特定分析。 结果将保存至结构化的 `output/` 目录。 **依赖项：** REMnux（所有依赖已预装）或参考 [docs/tool-deps.md](docs/tool-deps.md) ``` ./triage/file-triage.sh -i suspicious_file.docx ``` ### pcap-triage.py *(即将推出)* PCAP 分析：协议解析、IOC 提取、C2 通信检测， DNS/HTTP/TLS 汇总。与我在 Medium 上的网络流量分析文章配套使用。 ### windows-events-triage.py *(即将推出)* Windows 事件日志（`.evtx`）分析：可疑登录事件、进程创建， 权限提升指标、横向移动痕迹。 ## 安装 ``` git clone https://github.com/pavolkluka/soc-toolkit cd soc-toolkit # 检查依赖项（bash 脚本） ./triage/common/requirements-check.sh file-triage # 设置 Python venv（用于 Python 工具） ./venv-setup/setup.sh ``` ## 文档 - [分类方法论](docs/methodology.md) - [工具依赖](docs/tool-deps.md) - [REMnux 说明](docs/remnux-notes.md) ## 相关项目 - [medium-articles-code](https://github.com/pavolkluka/medium-articles-code) — 我的 Medium 文章中使用的特定脚本 - [Medium 文章](https://medium.com/@pavol.kluka) — 分析流程详解 ## 支持 如果我的工作对您有帮助：[通过 Hydranode 进行闪电打赏](https://hydranode.org/btcpay/apps/3eaaJ6N3NvEDSvkhWfLGR3Zxf1GN/pos)

标签：Bash, C2 通信检测, cybersecurity toolkit, DAST, Debian, DFIR tools, DNS 分析, evtx analysis, HTTP 分析, incident response, medium articles, network traffic analysis, open source forensics, PCAP 分析, Python, REMnux, security monitoring, SOC 工具包, TLS 分析, triage scripts, Windows 事件日志, 元数据提取, 取证脚本, 哈希校验, 威胁情报, 应用安全, 开发者工具, 恶意软件分析, 数字取证, 文件 triage, 无后门, 网络流量分析, 脚本工具, 自动化分析, 自动化脚本, 跨站脚本, 进程保护, 逆向工具