stardorri/Everyone-s-Favorite-Employee-DFIR

# 最受欢迎的员工 — DFIR 实验报告 ## 概述 本仓库包含针对**“最受欢迎的员工”**实验场景的数字取证调查报告。 此案件涉及分析 Karen 的工作站 Linux 磁盘镜像，Karen 是 TAAUSAI 的一名初级员工，被怀疑在公司内部进行了违反策略的潜在恶意活动。 ## 场景 Karen 入职 **TAAUSAI** 后，开始在公司内部进行非法或未经授权的活动。其工作站的磁盘镜像已被获取用于调查。发现该机器运行的是 Kali Linux。 ## 使用的工具 - FTK Imager - 文件系统分析 - Bash 历史记录审查 - Hash 分析 - 日志审查 - 手动取证关联 ## 主要发现 - 工作站运行的是 **Kali Linux**。 - 在 `/root/Downloads` 中发现了一个凭据转储工具的压缩包 `mimikatz_trunk.zip`。 - Apache 日志文件似乎是空的，这可能意味着没有 Apache 活动或日志可能被篡改。 - 一个名为 `didyouthinkwedmakeiteasy.jpg` 的可疑 JPG 文件，其表现并不像一个有效的图像文件。 - Bash 历史记录显示该文件曾使用 `binwalk` 进行过分析。 - 桌面上发现的一份清单显示了可能的意图： - 取得 Bob 的信任 - 学习如何黑客攻击 - 获取利益 - 通过 `irZLAohL.jpeg` 确认了存在网络攻击模拟的证据。 - 日志显示，在 3 月 20 日 11:26 涉及 `postgres` 账户的 `su` 切换活动成功执行。 ## 仓库结构 ``` everyones-favorite-employee-dfir/ ├── README.md ├── reports/ │ └── investigation-report.md ├── evidence/ │ └── evidence-summary.md └── notes/ └── analyst-notes.md ``` ## 免责声明 本项目基于网络安全训练实验。未涉及对任何真实公司、员工或生产系统的调查。

标签：Bash历史分析, binwalk, DNS 解析, FTK Imager, HTTP请求, Linux取证, Mimikatz, SOC分析师培训, StruQ, 内部威胁调查, 内鬼威胁, 协议分析, 哈希校验, 域渗透, 库, 应急响应, 应用安全, 恶意文件分析, 数字取证, 数据库提权, 日志篡改, 权限提升, 测试用例, 电子数据取证, 网络安全实验室, 网络攻防靶场, 自动化脚本, 证据固定, 隐写术, 靶场报告