RukimichimoshiP/Good-Money-Financial---Incident-Response-Digital-Forensics-Investigation

# Good-Money-Financial---事件响应与数字取证调查 **针对宏恶意软件事件的全面分析 + 磁盘镜像取证调查。** ## 🎯 项目目标 针对涉及以下内容的真实案例，执行完整的**事件响应**和**取证分析**： - 网络流量分析 (PCAP) - 宏恶意软件检测 - Windows XP 磁盘镜像取证调查 ## 🛠️ 使用的工具 - **Zeek (Bro)** → PCAP 分析和日志生成 - **Zeek-cut** → 数据提取与过滤 - **Autopsy** → 磁盘镜像取证分析 - **注册表分析，时间线，File Carving** ## 📋 主要发现 - 确认受感染的主机：**Nalyvaiko-PC** (172.17.1.129) - MAC Address: `00:1e:67:4a:d7:5c` - 初始感染途径：恶意 Word 文档 (`2018_11Details_zur_Transaktion.doc`) - 感染类型：**宏恶意软件** - 下载的 payload：`6169583.exe` - 磁盘中发现的恶意工具：Cain & Abel, Network Stumbler, Ethereal, WinPcap 等 - 最后一位用户：**Mr. Evil** ## 🧩 方法论 ### 第 1 部分 - Incident Response (Network Forensics) - 使用 Zeek 处理 PCAP - 分析日志 (`dhcp.log`, `http.log`, `files.log`) - 识别 IoC (IP，URL，文件) ### 第 2 部分 - Digital Forensics - 校验镜像完整性 (`MD5`) - 分析注册表 (SYSTEM, SOFTWARE, SAM) - 构建事件时间线 - 分析已安装的程序和回收站 ## 📊 完整报告 [下载完整报告 (PDF)](Relatorio_Completo.pdf) ## 🖼️ 截图 ## 💡 经验与教训 - 网络分段和阻止宏的重要性 - 在事件中进行行为分析的价值 - Network Forensics 与 Host Forensics 之间的关联 ## 🚀 展现的技能 - Incident Response - Network Forensics (Zeek) - Digital Forensics (Autopsy) - 恶意软件分析 - 编写技术报告和司法鉴定意见书 - CTI (Cyber Threat Intelligence)

标签：AlienVault OTX, DAST, 安全报告, 库, 应急响应, 恶意软件分析, 搜索语句（dork）, 数字取证, 自动化脚本