fernandogssilva/cyber-thrust-iris

# CyberThrust.IRIS **事件响应与调查套件** — 开源 Windows DFIR 应用程序，在一个模块化、快速、暗黑未来风格界面中编排 **CrowdStrike Falcon RTR**、**Microsoft Entra ID** 以及经过实战检验的开源工具（KAPE、Velociraptor、UAC、WinPmem、SuperMem、MemProcFS、Volatility）。 [](LICENSE) [](https://dotnet.microsoft.com/download/dotnet/8.0) [](#) [](https://github.com/fernandogssilva/cyber-thrust-iris/releases/latest) [](https://github.com/fernandogssilva/cyber-thrust-iris/issues) [](docs/CONTRIBUTING.md) ## 📥 下载 — 两次点击安装 | 包 | 适用对象 | 大小 | |---|---|---| | **`CyberThrust.IRIS-0.2.0-Setup.exe`** | 大多数用户 — pt-BR/en 向导、开始菜单快捷方式、卸载程序。**已签名。** | ~74 MB | | `CyberThrust.IRIS-0.2.0-Portable-win-x64.zip` | 无需安装即可运行（USB、受限机器）。解压后双击。**已签名。** | ~74 MB | | `cyberthrust-codesign-public.cer` | 供 IT 管理员在首次安装前信任的公共证书。 | < 1 KB | | `SHA256SUMS.txt` | 所有发布资产的完整性清单。 | < 1 KB | **要求**: Windows 10 22H2 或 Windows 11。**无需额外运行时** — `.NET 8` 已捆绑（独立单文件）。 **安装后**: 在安装文件夹中编辑 `appsettings.local.json`，填入你的 Entra 租户 + Falcon API 密钥。参见 [docs/ENTRA_SETUP.md](docs/ENTRA_SETUP.md) 和 [docs/CROWDSTRIKE_SETUP.md](docs/CROWDSTRIKE_SETUP.md)。 ## 🚀 功能 - **Entra ID 登录** 使用 MSAL（PKCE、条件访问、DPAPI 保护缓存、WAM 代理）。 - **CrowdStrike 控制台** 带 **Falcon 能力探测** — 自动检测你的租户授权了哪些模块（Insight XDR、Identity Protection、Spotlight、Discover、Surface、LogScale、Forensics、Fusion、FDR、RTR Admin），并在缺少模块时**优雅降级** UI，不会崩溃。 - **大规模 RTR**: 针对 1 到 N 台主机的远程 Shell、批量命令、脚本、get/put、kill/隔离、主机隔离。 - **通过 RTR 进行远程取证**: KAPE（Windows）、UAC（Linux/macOS/ESXi）、Velociraptor 离线收集器 — 通过预签名 URL 直接外传至 S3/Azure Blob（无 `RTR get` 的 4GB 限制）。 - **内存采集**: 原生 `xmemdump` + Magnet DumpIt / WinPmem 备用 + 使用 SuperMem 和 MemProcFS 进行采集后分析。 - **未来风格攻击图**（通过 WebView2 使用 Cytoscape.js）连接 IOC → 用户 → 进程 → 网络 → 横向移动，并标记 MITRE ATT&CK。 - **自我验证**: 健康检查视图运行 12 项以上自动化检查，对任何失败报告清晰的 `IRIS-*` 错误码。 - **报告**: 针对事件、漏洞和错误配置，可导出为 PDF/DOCX/JSON（v0.3）。 ## ⌨️ 键盘快捷键 | 快捷键 | 操作 | |---|---| | `Ctrl+1..6` | 仪表板、事件、RTR 控制台、取证、内存、攻击树 | | `F1` 或 `Ctrl+7` | 健康检查（自我验证） | | `Ctrl+8` | 设置 | | `Ctrl+L` | 登出 | | `F5` | 刷新（重新探测 Falcon） | ## 🏗️ 架构 ``` CyberThrust.IRIS/ ├── src/ │ ├── CyberThrust.IRIS.App/ # WPF shell (dark-futuristic UI) │ ├── CyberThrust.IRIS.Core/ # Models, errors, abstractions │ ├── CyberThrust.IRIS.EntraID/ # MSAL + DPAPI token cache │ ├── CyberThrust.IRIS.CrowdStrike/ # OAuth2 + RTR + Capability Probe │ ├── CyberThrust.IRIS.Forensics/ # KAPE / Velociraptor / UAC │ ├── CyberThrust.IRIS.Memory/ # WinPmem / DumpIt / SuperMem │ ├── CyberThrust.IRIS.Graph/ # Attack graph builder │ └── CyberThrust.IRIS.Installer/ # MSIX + Inno Setup ├── tests/ # xUnit + FluentAssertions ├── tools/external/ # Optional binaries (KAPE, Velo, etc.) ├── docs/ # Architecture, ERROR_CODES, setup guides └── .github/ # Issue/PR templates, dependabot, CI ``` 深入详解: **[docs/ARCHITECTURE.md](docs/ARCHITECTURE.md)**。 ## 🛠️ 从源码构建 ``` # 先决条件（一次性） winget install Microsoft.DotNet.SDK.8 winget install Git.Git # 克隆 git clone https://github.com/fernandogssilva/cyber-thrust-iris.git cd cyber-thrust-iris # 构建和运行 dotnet restore dotnet build -c Release dotnet run --project src/CyberThrust.IRIS.App ``` ## ⚖️ 许可证 根据 **[Apache License 2.0](LICENSE)** 发布 — 可免费用于商业和非商业用途，包含专利授权。 第三方归属见 **[NOTICE](NOTICE)**。 ## ⚠️ 伦理使用 CyberThrust.IRIS 可执行主动响应（终止进程、主机隔离、内存/磁盘采集）。**仅用于你拥有明确书面授权的系统。** 未经授权使用可能违反巴西 Lei 12.737/2012（Lei Carolina Dieckmann）、美国 CFAA、欧盟 GDPR/NIS2 及类似法律。 ## 🔒 安全 发现漏洞？**请勿公开发布 issue。** 使用 [私人安全公告渠道](https://github.com/fernandogssilva/cyber-thrust-iris/security/advisories/new) 或发送邮件至 `security@cyberthrust.com.br`。披露策略见 [docs/SECURITY.md](docs/SECURITY.md)。 ## 📚 文档 - [架构](docs/ARCHITECTURE.md) — 模块化设计、数据流、ADR - [错误代码](docs/ERROR_CODES.md) — 90+ 结构化 `IRIS-*` 代码 - [安装](docs/INSTALL.md) — 安装程序 + MSIX 打包 - [Entra 设置](docs/ENTRA_SETUP.md) — 在 Microsoftra ID 中注册应用 - [CrowdStrike 设置](docs/CROWDSTRIKE_SETUP.md) — 生成 Falcon API 密钥 + put-files - [信任证书](docs/TRUST_CERTIFICATE.md) — 使 Windows 信任我们的二进制文件 - [Authenticode 路线图](docs/AUTHENTICODE_ROADMAP.md) — 从自签名到 EV/Store 的路径 - [安全与 LGPD/GDPR](docs/SECURITY.md) — 监管链、保留、PII 处理 - [验证报告](docs/VALIDATION_REPORT.md) — 针对真实 Falcon 租户的能力矩阵 - [CTO 审核](docs/CTO_REVIEW.md) — 独立评审，附带 v0.2/v0.3/v0.4 待办清单 - [贡献指南](docs/CONTRIBUTING.md) — 编码规范、分支、提交风格 ## 💚 致谢 基于开源 DFIR 社区的肩膀。特别感谢 **CrowdStrike Falcon-Toolkit**、**Velociraptor**、**KAPE**、**UAC**（[@tclahr](https://github.com/tclahr) — 巴西人，和我们一样 🇧🇷）、**WinPmem**、**SuperMem**、**MemProcFS**、**Volatility**、**MSAL.NET**、**CommunityToolkit.Mvvm**、**Cytoscape.js**、**Serilog**、**WPF-UI** 以及更广泛的 Microsoft .NET 团队的维护者。

标签：CrowdStrike Falcon, DInvoke, EDR, KAPE, MemProcFS, Microsoft Entra ID, RTR, SecList, SuperMem, Velociraptor, WinPmem, WPF, 入侵响应, 内存取证, 库, 应急响应, 开源, 数字取证, 用户态调试, 网络调试, 脆弱性评估, 自动化, 自动化脚本