WheatiesJN/digital-forensics-portfolio

# 数字取证与事件响应实验室作品集 本仓库展示了由 **John Wheat** 完成的实践数字取证与事件响应实验室的专业作品集。其目的是展示面向初级 SOC Analyst、Security Analyst、数字取证以及初级安全工程岗位的实践调查工作流、工具熟练度、证据处理和文档编写质量。 ## 作品集概览 - **10 个数字取证实验室**，涵盖证据处理、隐写术、文件恢复、事件响应、Windows、Linux、电子邮件/聊天、移动设备、网络基础设施和系统内存。 - 实践操作了 **FTK Imager, Autopsy, Paraben E3, Wireshark, StegExpose, OpenPuff, S-Tools, PhotoRec, DumpIt, Volatility, Linux CLI, Windows Registry 以及路由器 CLI 工作流**。 - 重点在于 **可重复的调查流程、痕迹审查、哈希验证、时间线梳理、证据解读、专业报告编写以及易于雇主阅读的文档记录**。 - 每个实验室的 README 都包含 **带说明的嵌入式截图**，以便审阅者能快速了解所审查的证据和使用的工具。 ## 实验室 | 实验室 | 重点 | 涵盖工具 | |---|---|---| | [实验 01：将 Daubert 标准应用于取证证据](labs/lab-01-daubert-standard-evidence-handling/) | 证据处理、监管链、哈希和验证 | Adobe Reader, FTK Imager, Paraben E3 | | [实验 02：识别取证证据中隐写术的使用](labs/lab-02-steganography-forensic-evidence/) | 检测和提取图像及音频证据中的隐藏数据 | Paraben E3, StegExpose, OpenPuff | | [实验 03：恢复已删除和损坏的文件](labs/lab-03-deleted-damaged-file-recovery/) | 跨 NTFS、Ext4 和损坏介质场景的已删除文件恢复 | Paraben E3, Autopsy, PhotoRec | | [实验 04：开展事件响应调查](labs/lab-04-incident-response-investigation/) | PCAP 分析、磁盘证据、事件范围界定和报告编写 | NetWitness Investigator, Paraben E3, PCAP 分析工具 | | [实验 05：在 Windows 系统上进行取证调查](labs/lab-05-windows-system-forensics/) | Windows 进程、Registry、用户活动、应用程序和浏览器痕迹审查 | Windows Task Manager, Resource Monitor, Command Prompt | | [实验 06：在 Linux 系统上进行取证调查](labs/lab-06-linux-system-forensics/) | Linux 实时取证、基于 Shell 的调查、进程审查和日志分析 | Linux 终端, dmesg, fsck | | [实验 07：对电子邮件和聊天记录进行取证调查](labs/lab-07-email-chat-log-forensics/) | 电子邮件标头分析、Outlook/Thunderbird 数据库以及 Slack 工作区证据 | Paraben E3, Outlook 数据库审查, Thunderbird 数据库审查 | | [实验 08：对移动设备进行取证调查](labs/lab-08-mobile-device-forensics/) | iOS 和 Android 数据案例审查、应用痕迹、用户活动和报告编写 | Paraben E3, iOS 数据案例审查, Android 用户数据审查 | | [实验 09：对网络基础设施进行取证调查](labs/lab-09-network-infrastructure-forensics/) | 数据包捕获、协议过滤、路由器证据、FTP 行为和流量分析 | Wireshark, 路由器 CLI, 数据包捕获文件 | | [实验 10：对系统内存进行取证调查](labs/lab-10-system-memory-forensics/) | 内存获取、进程审查、可疑进程分析和 Volatility 工作流 | DumpIt, Paraben E3, FTK Imager | ## 展示的核心技能 ### 数字取证 - 监管链文档编写 - 证据提取和哈希验证 - 磁盘镜像审查和已删除文件恢复 - Windows、Linux、iOS、Android、电子邮件、聊天、网络和内存痕迹分析 ### 安全运营 / 事件响应 - PCAP 和网络会话分析 - 事件分类和范围界定 - 可疑进程和键盘记录器证据审查 - 时间线梳理和事件报告 ### 技术调查 - Wireshark 过滤和数据包审查 - Registry 和 Windows 痕迹分析 - Linux 日志和进程分类 - 移动应用程序和用户活动审查 - 跨电子邮件和聊天数据的通信痕迹审查 ## 如何审阅本作品集 如需快速审阅，请从以下开始： 1. [实验 04：开展事件响应调查](labs/lab-04-incident-response-investigation/) 2. [实验 05：在 Windows 系统上进行取证调查](labs/lab-05-windows-system-forensics/) 3. [实验 09：对网络基础设施进行取证调查](labs/lab-09-network-infrastructure-forensics/) 4. [实验 01：将 Daubert 标准应用于取证证据](labs/lab-01-daubert-standard-evidence-handling/) 这四个实验室最能展示与 SOC 和安全分析师岗位最相关的调查、分类、文档编写以及网络/安全运营技能。 ## 免责声明 所有报告均基于受控的学术实验室环境，仅供作品集演示使用。不包含任何机密数据、私人证据文件、受版权保护的课程材料或完整的实验说明。

标签：SecList, 内存取证, 域渗透, 安全实验报告, 库, 应急响应, 数字取证, 电子数据取证, 自动化脚本