StefanoFalco/Operation-Zodiac-DFIR-Case-Study

# Operation Zodiac - DFIR 案例研究 这是一个为都灵理工大学计算机取证与网络犯罪分析课程开发的学术数字取证与事件响应案例研究。 该项目重现了一起与勒索软件相关的模拟入侵事件，涵盖网络入侵、主机取证分析、被动 OSINT、隐写术排查以及恶意软件静态逆向工程。调查工作在基于 CAINE 的取证环境中进行，采用了基于哈希校验、工作副本、可追溯性和可重复性的严谨证据处理工作流。 这是该项目的公开作品集版本。出于安全、传播和负责任发布的考虑，原始证据文件、数据包捕获、可执行的恶意软件样本、提取的 payload 以及二进制构件均被特意排除在外。 ## 案例概述 Operation Zodiac 是一个取证实验项目，重点在于从保留的取证构件中重建多阶段入侵过程。 原始案例材料包括网络流量、Linux 身份验证日志、系统日志、shell 历史记录、勒索图片以及类似勒索软件的可执行文件。 本次调查旨在回答以下问题： - 攻击者是如何访问目标环境的； - 涉及了哪些服务、账户和凭证； - 网络证据与主机证据是否相互一致； - OSINT 在还原入侵过程中发挥了什么作用； - 隐写术或恶意软件构件中是否包含额外证据； - 如何在整个分析过程中保持取证的可追溯性。 ## 调查范围 该公开代码库记录了以下活动： - 证据盘点和基于哈希的完整性校验； - 面向监管链的工作流； - 针对 FTP、SSH 和 HTTP 活动的网络取证； - FTP 暴力破解与成功登录的重构； - 利用身份验证日志、系统日志和 shell 历史记录进行主机取证关联； - 相关攻击者活动的时间线重构； - 对暴露的公开信息进行被动 OSINT 分析； - 针对勒索图片的隐写术排查； - 勒索软件样本的静态分析与逆向工程； - 最终报告，清晰区分已验证的发现和未解决的证据。 ## 方法论 本项目遵循围绕可重复性和文档记录设计的取证工作流。 | 阶段 | 描述 | |---|---| | 证据处理 | 哈希校验、原件保存、使用工作副本以及完整性检查 | | 网络取证 | 协议层级、端点分析、FTP 命令提取、TCP 数据流重构、SSH 与 HTTP 关联分析 | | 主机取证 | 身份验证日志分析、bash 历史记录重构、syslog 关联分析以及会话窗口分析 | | OSINT | 对公开痕迹和攻击者操作失误的被动审查 | | 隐写术排查 | 元数据检查、字符串分析、steghide 检查以及候选密码测试 | | 恶意软件静态分析 | ELF 检查、strings、readelf、objdump、控制流审查以及密钥材料推理 | | 报告 | 有证据支持的发现、截图、笔记以及最终的取证报告 | ## 关键发现 最终报告记录了一条逻辑严密的入侵链条，涉及： - FTP 暴力破解活动和明文凭证泄露； - 以合法用户身份成功通过身份验证； - 身份验证后的文件检索活动； - 随后发生的与主机日志相关联的 SSH 活动； - 与勒索软件阶段相关的 HTTP 下载； - 来源于公开暴露的、由攻击者控制的材料的 OSINT 证据； - 恶意软件静态分析显示了基于 XOR 的文件转换例程以及嵌入的与恢复相关的材料； - 已确认存在一项隐写内容，但由于缺乏经过验证的密码而未能完全解密。 出于安全考虑，敏感数值、原始构件、可执行样本和二进制 payload 未在此公开的 README 中展示。 ## 仓库内容 主要文件和文件夹： ``` Operation_Zodiac_Forensic_Report_Final.pdf Lab_03_Forensics___Group Composition Statement.pdf draft_pdfs/ LAB3_OPERATION_ZODIAC/ 00_admin/ 03_hashes/ 04_file_identification/ 05_network_forensics/ 06_host_forensics/ 07_steganography/ 08_malware_static_analysis/ 10_osint/ 11_timeline/ 12_flags/ 13_screenshots/ 14_report/ 15_scripts/ 16_notes/ README.md .gitignore .gitattributes ``` ## 主要交付物 - Operation_Zodiac_Forensic_Report_Final.pdf 记录完整调查过程的最终取证报告。 - Lab_03_Forensics___Group Composition Statement.pdf 小组成员构成与角色声明。 - LAB3_OPERATION_ZODIAC/03_hashes/ 与完整性校验和监管链相关的材料。 - LAB3_OPERATION_ZODIAC/05_network_forensics/ 提取的网络取证输出和协议分析。 - LAB3_OPERATION_ZODIAC/06_host_forensics/ 主机日志和 bash 历史记录分析输出。 - LAB3_OPERATION_ZODIAC/07_steganography/ 勒索图片排查、元数据检查和隐写术笔记。 - LAB3_OPERATION_ZODIAC/08_malware_static_analysis/ 静态分析输出、逆向工程笔记以及非可执行的分析构件。 - LAB3_OPERATION_ZODIAC/10_osint/ 被动 OSINT 笔记、工具输出和资料审查材料。 - LAB3_OPERATION_ZODIAC/11_timeline/ 最终及初步的时间线重构。 - LAB3_OPERATION_ZODIAC/13_screenshots/ 分析工作流和相关发现的可视化证据。 - LAB3_OPERATION_ZODIAC/15_scripts/ 用于解析、提取和关联取证证据的 Python 脚本。 - LAB3_OPERATION_ZODIAC/16_notes/ 逐步的调查笔记和推理记录。 ## 工具与环境 本次调查使用了一个面向取证的 Linux 环境和常用的 DFIR 工具，包括： - CAINE 取证环境； - Wireshark 和 TShark； - Linux 命令行实用程序，如 sha256sum、md5sum、file、stat、xxd 和 strings； - 用于 ELF 静态分析的 readelf 和 objdump； - 用于图像和隐写术排查的 ExifTool 和 steghide； - 被动 OSINT 工具和人工公开来源审查； - 通过取证笔记、截图和最终报告进行的结构化文档记录。 ## 我的角色 Stefano Falco 学号：343739 角色：报告经理与法律顾问 主要职责： - 取证报告结构和文档记录策略； - 证据可追溯性和程序一致性； - 整理发现、截图、笔记和交付物； - 为法律、方法论和证据框架提供支持； - 将调查过程重构为一份逻辑连贯的最终报告。 该项目是与学号为 339334 的 Alessio Falco 合作完成的，他担任行动负责人和首席取证调查员。 ## 展现的技能 本项目展示了在以下方面的实践经验： - 数字取证与事件响应 (DFIR)； - 网络流量分析； - Linux 主机取证分析； - 证据保全和哈希校验； - 取证报告和监管链文档记录； - 被动 OSINT； - 恶意软件静态分析； - 逆向工程推理； - 安全调查的技术文档编写。 ## 安全与发布说明 本代码库旨在作为一个学术和专业作品集项目。 公开版本特意排除了： - 原始证据； - 数据包捕获文件； - 可执行的恶意软件样本； - 二进制 payload； - 敏感构件的工作副本； - 不必要的存档和备份材料。 其目的是记录调查的方法论和结果，而不传播具有潜在不安全性或不必要的材料。 ## 免责声明 Operation Zodiac 是一个学术实验室场景。本代码库不描述也不针对任何真实的生产环境。所有内容仅出于教育、防御和作品集目的提供。 ## 许可证 未选择开源许可证。如需重复使用、重新分发或创作衍生作品，应与项目作者协商。

标签：DAST, 后端开发, 安全案例研究, 库, 应急响应, 恶意软件分析, 数字取证, 自动化脚本, 逆向工具, 隐写术