somyagupta06/DFIR_Artifacts_Analysis

# 概述 本仓库记录了我学习数字取证与事件响应（DFIR）的实践之旅。 目标不是收集笔记或完成学习路径。 目标是理解取证痕迹的行为方式，通过实践练习进行验证，然后将这些知识应用于恶意软件分析、事件响应和法证调查。 本仓库中的每个主题都遵循相同的工作流程： ``` Understand Artifact ↓ Validate Through Experiments ↓ Analyze Real Evidence ↓ Apply In Investigation Scenarios ``` # 仓库结构 ``` DFIR_Artifact_Lab/ ├── File_System_Analysis/ │ │ ├── MBR/ │ │ ├── Validation/ │ │ └── Applied_Case/ │ │ │ ├── GPT/ │ │ ├── Validation/ │ │ └── Applied_Case/ │ │ │ ├── FAT32/ │ │ ├── Validation/ │ │ └── Applied_Case/ │ │ │ ├── NTFS/ │ │ ├── Validation/ │ │ └── Applied_Case/ │ │ │ ├── EXT/ │ │ ├── Validation/ │ │ └── Applied_Case/ │ │ │ └── File_Carving/ │ ├── Validation/ │ └── Applied_Case/ │ ├── Windows_Artifacts/ │ │ ├── Event_Logs/ │ ├── Registry/ │ ├── Prefetch/ │ ├── Amcache/ │ ├── Shimcache/ │ ├── LNK_Files/ │ └── Jump_Lists/ │ ├── Linux_Artifacts/ │ ├── macOS_Artifacts/ │ ├── Mobile_Forensics/ │ ├── Memory_Analysis/ │ ├── Malware_Analysis/ │ └── Applied_Cases/ ``` # 方法论 每个主题分为两个阶段。 ## 阶段 1 — 验证 通过实践练习理解取证痕迹的工作原理。 示例： - 探索 MFT 记录 - 恢复已删除的文件 - 检查 FAT 目录项 - 解析事件日志 - 调查注册表痕迹 - 检查内存结构 解答的问题： ``` What does this artifact do? How is it created? How is it modified? What evidence can it provide? How can investigators use it? ``` ## 阶段 2 — 应用案例 将痕迹知识应用于真实的法证或恶意软件相关场景。 示例： - 恶意软件持久化分析 - 用户活动重建 - 时间线重建 - 已删除文件调查 - 端点受损分析 - 事件响应场景 解答的问题： ``` How does this artifact help during an investigation? What attacker activity can it reveal? How can it support findings with evidence? How does it fit into the attack timeline? ``` # 使用的工具 ## 法证 - FTK Imager - Autopsy - HxD - Volatility ## 检测与调查 - Splunk - Elastic Stack - Sysmon ## 网络分析 - Wireshark - TShark ## 恶意软件分析 - YARA - CyberChef - VirusTotal # 本仓库存在的原因 大多数学习仓库展示的是学习了什么。 本仓库侧重于验证和应用了什么。 对于每个取证痕迹： 1. 理解其工作原理 2. 通过实践练习进行验证 3. 观察其产生的证据 4. 将其应用于调查场景 5. 记录发现和结论 目标是通过对证据的实际操作而非仅凭假设，来培养调查技能。 # 长期目标 在以下领域构建实践专业技能： - 数字取证 - 事件响应 - 端点调查 - 恶意软件分析 - 威胁狩猎 同时保留实践工作和法证案例研究的文档记录。

标签：GhostArchive, MIT许可证, 库, 应急响应, 恶意代码分析, 数字取证, 自动化脚本, 配置文件