Hassan1829/sigil-dfir

# 🛡️ sigil-dfir - 查找系统妥协的迹象 [](https://github.com/Hassan1829/sigil-dfir/releases) ## 🔽 下载 访问此页面以下载： https://github.com/Hassan1829/sigil-dfir/releases 请使用适用于 Windows 的最新版本。打开发布页面后，找到为 Windows 构建的文件。将其下载到电脑，然后打开以启动应用程序；如果发布版本是 ZIP 文件，请先解压。 ## 🧭 SIGIL 的功能 SIGIL DFIR 帮助您查找 Windows PC 可能已被妥协的迹象。它会收集常见的证据来源，使用检测规则进行检查，并在简洁的界面中显示结果。 在您需要时它非常有用： - 审查 Windows 事件日志 - 检查 Web 服务器日志 - 检查注册表数据 - 搜寻妥协指示器 - 从发现生成报告 ## ✨ 您可以做什么 - 打开简洁的图形界面，而不仅限于命令行 - 解析 Windows 事件日志中的 EVTX 文件 - 审查匹配 Sigma 风格规则的告警 - 将发现映射到 MITRE ATT&CK 技术 - 为每个发现查看置信度分数 - 搜索妥协指示器 - 导出报告以分享或审查 ## 💻 所需条件 SIGIL DFIR 在 Windows 上运行。要获得最佳效果，请使用： - Windows 10 或 Windows 11 - 至少 8 GB 内存 - 2 GB 可用磁盘空间 - 现代网页浏览器 - 允许在电脑上打开本地文件的权限 如果发布版本包含独立的前端和后端文件，请将两者放在同一文件夹中，除非发布说明另有说明。 ## 📦 在 Windows 上安装 1. 打开发布页面： https://github.com/Hassan1829/sigil-dfir/releases 2. 从最新版本下载 Windows 文件 3. 如果文件是 ZIP 压缩包，右键选择“全部解压” 4. 打开解压后的文件夹 5. 运行主 Windows 应用程序文件（如包含） 6. 如果发布版本使用本地 Web 应用设置，请先启动后端，然后在浏览器中打开前端 如果 Windows 请求权限，请选择“允许”，以便应用程序可以访问您要审查的本地文件 ## 🚀 首次运行 启动 SIGIL DFIR 后，您通常会看到包含加载证据和审查发现选项的仪表板。 一次简单的首次运行如下： 1. 打开应用程序 2. 选择一个案例或加载数据文件夹 3. 添加 Windows 事件日志、注册表文件或 Web 日志 4. 等待 SIGIL 扫描文件 5. 审查发现列表 6. 打开一个发现以查看其详细信息 7. 检查时间线以查看事件如何关联 ## 🗂️ 支持的数据 SIGIL DFIR 设计用于处理常见的应急响应工件，包括： - Windows 事件日志 - EVTX 文件 - Web 服务器日志 - 注册表 hive - IOC 列表 - 来自 Windows 系统的分类数据 ## 🖥️ 主要界面 ### 仪表板 仪表板提供已加载数据、扫描状态和关键发现的快速概览。 ### 发现 发现界面显示匹配项、置信分数及相关规则详情。 ### 时间线 时间线视图帮助您按时间顺序跟踪活动，以便发现最先发生的事件。 ## 🔍 如何审查案例 1. 加载要检查的计算机上的文件 2. 等待扫描完成 3. 按分数或类型对发现排序 4. 打开每个匹配项并阅读详细信息 5. 将事件与时间线进行对比 6. 查找重复的登录、文件更改、新服务或异常网络活动 7. 需要时导出报告以分享案例 ## 🧠 匹配如何工作 SIGIL DFIR 使用检测规则来标记可能需要审查的活动。这些规则将已知模式与日志和文件中的数据进行比较。 该应用可以帮助您发现： - 异常的登录活动 - 可疑的进程行为 - 与持久性相关的注册表更改 - 看起来不正常的 Web 日志活动 - 与已知攻击者方法相关的事件 每个发现都包含一个置信度分数，帮助您专注于最重要的事项 ## 📝 报告输出 在需要书面记录审查时使用报告功能。报告可以帮助您： - 与其他分析师共享结果 - 为案例文件保留记录 - 后续审查发现 - 比较不同机器的扫描结果 ## ⚙️ 高级用户的本地设置 如果您想运行源代码版本，请使用仓库中的文件夹： ### 前端 - 进入 `frontend` 文件夹 - 安装依赖包 - 启动 Web 应用 ### 后端 - 进入 `backend` 文件夹 - 安装 Python 依赖包 - 在端口 8001 启动 API 服务器 此设置适用于希望直接操作代码的用户。对于大多数 Windows 用户，下载发布版本是最简单的路径 ## 📁 典型文件夹布局 一个发布版本可能包含如下内容： - `app.exe` 或其他 Windows 启动器 - 用于界面的 `frontend` 文件 - 用于 API 的 `backend` 文件 - 用于截图和帮助文件的 `docs` - 用于导出案例输出的 `reports` ## 🔐 隐私与文件访问 SIGIL DFIR 仅处理您选择加载的文件。它不需要您的电子邮件或账户登录即可审查本地证据。请将案例文件保存在安全文件夹中，并仅打开您信任的数据 ## 🛠️ 常见问题 ### 应用程序无法打开 - 检查文件是否已完成下载 - 右键点击应用程序并选择“以管理员身份运行” - 确保 Windows 未阻止该文件 ### 屏幕保持空白 - 稍等片刻让应用程序加载数据 - 如果使用的是基于浏览器的发布版本，请重新加载页面 - 如果发布版本需要后端，请确保其正在运行 ### 文件无法加载 - 确认文件类型受支持 - 确保文件未损坏 - 尝试一次加载一个文件 ### 扫描结果为空 - 检查是否添加了正确的证据文件 - 确保文件来自您要审查的系统 - 如果机器事件较少，请尝试不同的日志集合 ### 最佳使用建议 - 从小文件集开始 - 优先审查高分发现 - 使用时间线确认事件顺序 - 检查案例时做笔记 - 每次审查会话后导出报告 ## 🧩 项目结构 - `frontend` - 用户界面 - `backend` - API 和解析逻辑 - `docs` - 截图和支持文件 - `scripts` - 辅助工具（如包含） - `README.md` - 项目概述 ## 📎 发布页面 在此处下载 Windows 发布版本： https://github.com/Hassan1829/sigil-dfir/releases

标签：AlienVault OTX, Cloudflare, DNS 反向解析, DNS 解析, ESC漏洞, EVTX解析, GUI取证工具, HTTPS请求, HTTP工具, IOC查找, IP 地址批量处理, MITRE ATT&CK, SecList, Sigma规则, Web日志分析, Windows取证, Windows应用, 事件日志取证, 内存取证, 取证调查, 子域名变形, 安全监测, 开箱即用工具, 数字取证, 数据包嗅探, 无线安全, 本地文件解析, 注册表分析, 流量嗅探, 浏览器取证, 目标导入, 磁盘取证, 网络信息收集, 网络安全审计, 置信度评分, 自动化脚本, 规则匹配, 证据收集, 逆向工具