itsbotandme/dfir-attck-ctfs

# DFIR ATT&CK CTF 实验包 可在浏览器中运行的、自包含的 DFIR 夺旗 (CTF) 挑战，按 **MITRE ATT&CK Enterprise 战术** 进行组织。每个 CTF 包含一个交互式分析师终端、一份完整的 DFIR 调查报告，以及一份解释每项发现背后 *原因* 的初级分析师培训指南。 ## 当前包含内容 | 实验 | 来源 | 格式 | |-----|--------|--------| | **MemLabs Lab 1** | 内存镜像 (1 GB raw) | 8 阶段 ATT&CK kill-chain CTF | ## 如何参与 ``` # 1. Clone 仓库 git clone https://github.com/itsbotandme/dfir-attck-ctfs.git cd dfir-attck-ctfs # 2. 在浏览器中打开 CTF xdg-open reports/MemLabs-Lab1-CTF.html # Linux open reports/MemLabs-Lab1-CTF.html # macOS start reports/MemLabs-Lab1-CTF.html # Windows ``` 就是这样。**无需安装，无需 Claude，无需 API keys，无需网络。** 该 CTF 是一个自包含的 HTML 文件，内置了 JavaScript 终端模拟器以及所有 Volatility 输出结果。 ### 可选：`start ` shell 启动器 为了方便起见，可以从终端中按名称运行任何 CTF： ``` # 一次性设置 (Linux/macOS) source scripts/start.sh # current shell only echo "source $(pwd)/scripts/start.sh" >> ~/.bashrc # permanent # 然后: start # list available CTFs start MemLabs-Lab1 # exact match start memlabs # case-insensitive partial match ``` ## 如何构建您自己的 CTF 本仓库中的 CTF 是使用名为 **`ctf-builder`** 的 Claude Code skill 构建的，该 skill 可自动化完成：取证分析 → ATT&CK 映射 → 阶段分解 → HTML 生成。 要从您自己的取证工件构建新的 CTF： 1. **安装 [Claude Code](https://claude.com/claude-code)**（或使用 Claude Agent SDK） 2. **将此 skill 复制到您的 Claude 配置中：** cp -r skill/ctf-builder ~/.claude/skills/ 3. **使用您的案例数据调用该 skill**： Claude 将读取工件，运行相关的取证工具（Volatility, Sleuth Kit, Plaso 等），将发现结果映射到 ATT&CK，并产出三项交付物（报告、CTF HTML、答案表）。 ## 需要外部下载 — MemLabs Lab 1 内存镜像 由于大小和许可原因，1 GB 的内存镜像**未提交至本仓库**。请从原始来源下载： ``` # 手动: 从上方链接下载 MemLabs-Lab1.7z # 提取: mkdir -p cases/MemLabs-Lab1 7z x MemLabs-Lab1.7z -ocases/MemLabs-Lab1/ # → cases/MemLabs-Lab1/MemoryDump_Lab1.raw ``` **您无需该内存镜像即可参与 CTF。** CTF HTML 已预先嵌入了所有 Volatility 输出。仅当您希望在一个真实的 SIFT 工作站上针对它运行您自己的命令，或者为了验证预设输出时，才需要该镜像。 ## 仓库布局 ``` . ├── README.md # this file ├── reports/ │ ├── MemLabs-Lab1-CTF.html # play this │ ├── MemLabs-Lab1-DFIR-Report.md # full investigation write-up │ └── MemLabs-Lab1-AnswerSheet.md # junior-analyst training guide ├── skill/ │ └── ctf-builder/ # Claude Code skill to build more CTFs │ ├── SKILL.md │ └── templates/ ├── scripts/ │ └── start.sh # portable CTF launcher └── .gitignore ``` ## 每项交付物的用途 | 文件 | 受众 | 目的 | |------|----------|---------| | `*-CTF.html` | 任何人 | 交互式 60–90 分钟培训课程 | | `*-DFIR-Report.md` | IR 分析师、管理层 | 有理有据的 kill-chain 叙述 + ATT&CK 映射 + 补救措施 + Sigma rules | | `*-AnswerSheet.md` | 初级分析师 | 推理框架、决策树、常见陷阱 | ## 致谢 本仓库中的 CTF 概念和 ATT&CK kill-chain 培训方法是衍生教育内容。底层的取证挑战归其原作者所有： | 实验 | 原作者 | 来源 | |-----|----------------|--------| | MemLabs Lab 1 | **stuxnet999** | [github.com/stuxnet999/MemLabs](https://github.com/stuxnet999/MemLabs) | 如果您基于其他公开可用的挑战创建新的 CTF，请在此注明原作者。 ## 许可证 包装内容（CTF HTML、DFIR 报告、答案表、ctf-builder skill、启动脚本）基于 **MIT License** 发布，用于教育目的。原始挑战工件保留其各自上游项目的许可条款——请参阅上文 *致谢*。

标签：Capture The Flag, Cloudflare, DAST, HTML单页应用, JavaScript终端模拟, MITRE ATT&CK, SecList, 内存取证, 分析终端, 初级分析师指南, 后端开发, 多模态安全, 安全教育, 恶意软件分析, 数字取证与事件响应, 数据可视化, 漏洞修复, 网络安全培训, 网络安全靶场, 网络杀伤链, 自包含HTML, 蓝队训练, 零安装