DFIR Windows 取证 Playbook

用于事件响应和证据收集的 Windows 取证获取工作流

## 📌 概述 你正面临一台**受感染的 Windows 实时机器**，存在可疑进程、未知网络连接和潜在的数据渗出。你的任务是**收集取证证据，同时不遗漏关键 artifacts 或污染系统**。 **DFIR Windows Acquisition Playbook** 是你的指南。它提供了一种结构化且可重复的取证获取方法，帮助调查人员系统地从受损的 Windows 系统中收集证据，同时保持完整性并避免污染。 本 playbook 可确保你明确知道在活跃的事件响应期间应该收集什么、以什么顺序收集，以及为什么这很重要。 ## 🎯 目标 本 playbook 提供了一个**标准化的 DFIR 获取工作流**，用于： - 首先保存**易失性证据（内存、实时数据）** - 收集**磁盘级取证镜像** - 提取**Windows artifacts（日志、注册表、持久化）** - 恢复**用户和攻击者的活动痕迹** - 实现**事件的时间线重建** - 支持**事件响应和取证调查** ## 📚 目录 1. [内存获取 (RAM Dump)](01-memory-acquisition.md) 2. [磁盘镜像 (完整取证镜像)](02-disk-imaging.md) 3. [Windows 事件日志](03-windows-event-logs.md) 4. [注册表 Artifacts 与持久化](04-registry-artifacts.md) 5. [用户 Artifacts (AppData / Temp / Downloads)](05-user-artifacts-appdata-temp.md) 6. [浏览器 Artifacts](06-browser-artifacts.md) 7. [时间线 Artifacts (MFT, Prefetch, Amcache)](07-timeline-artifacts.md) 8. [网络 Artifacts](08-network-artifacts.md) ## 🏁 操作摘要 本仓库被设计为一个**结构化的 DFIR 获取指南**，旨在确保在受损的 Windows 系统上进行一致、可重复且符合取证规范的证据收集。 它可在以下场景中作为参考： - 事件响应调查 - SOC 升级流程 - 数字取证分析 - 威胁狩猎活动

标签：Amcache, DAST, HTTPS请求, IP 地址批量处理, MFT, PB级数据处理, Prefetch, ProjectDiscovery, Windows取证, 内存获取, 勒索病毒响应, 取证手册, 后渗透检测, 域渗透, 子域名变形, 安全事件响应, 安全调查, 安全运维, 库, 应急响应, 应急响应手册, 恶意软件分析, 数字取证, 数据保护, 数据包嗅探, 数据泄露调查, 注册表分析, 浏览器取证, 用户行为分析, 电子数据取证, 磁盘镜像, 网络安全, 自动化脚本, 隐私保护