Windows DFIR 取证获取指南

用于事件响应和证据收集的 Windows 取证获取工作流

## 📌 概述 你正面临一台**已被感染的运行中的 Windows 机器**，上面存在可疑进程、未知的网络连接以及潜在的数据泄露。你的任务是**收集取证证据，同时不遗漏关键 artifacts 或污染系统**。 **Windows DFIR 取证获取指南**是你的实操手册。它提供了一种结构化且可重复的取证获取方法，帮助调查人员系统性地从受损的 Windows 系统中收集证据，同时保持证据的完整性并避免污染。 本指南可确保你清楚地知道在一次积极的事件响应过程中，需要收集什么证据、按什么顺序收集以及为什么这样做。 ## 🎯 目标 本指南提供了一套**标准化的 DFIR 获取工作流**，旨在： - 优先保存**易失性证据（内存、实时数据）** - 收集**磁盘级取证镜像** - 提取**Windows artifacts（日志、注册表、持久化）** - 恢复**用户和攻击者的活动痕迹** - 实现**事件的时间线重建** - 支持**事件响应和取证调查** ## 📚 目录 1. [内存获取（RAM 转储）](01-memory-acquisition.md) 2. [磁盘镜像（完整取证镜像）](02-disk-imaging.md) 3. [Windows 事件日志](03-windows-event-logs.md) 4. [注册表 Artifacts 与持久化](04-registry-artifacts.md) 5. [用户 Artifacts (AppData / Temp / Downloads)](05-user-artifacts-appdata-temp.md) 6. [浏览器 Artifacts](06-browser-artifacts.md) 7. [时间线 Artifacts (MFT, Prefetch, Amcache)](07-timeline-artifacts.md) 8. [网络 Artifacts](08-network-artifacts.md) ## 🪟 相关项目 用于事件响应和证据收集的 Linux DFIR 取证获取指南： 🔗 https://github.com/ilyess-sellami/Linux-DFIR-Acquisition-Playbook

标签：AlienVault OTX, DAST, ESC漏洞, HTTPS请求, HTTP工具, IP 地址批量处理, MFT解析, PE 加载器, Prefetch, Windows取证, 事件响应标准作业程序, 事件日志分析, 内存获取, 子域名变形, 安全指南, 安全调查, 安全运营, 库, 应急响应, 恶意软件分析, 扫描框架, 持久化痕迹, 数字取证, 注册表取证, 浏览器取证, 磁盘镜像, 网络安全, 网络安全审计, 自动化脚本, 证据收集, 隐私保护