Nadev9/IR_Project
GitHub: Nadev9/IR_Project
一个在 VirtualBox 隔离环境中模拟并调查三种常见攻击场景的事件响应案例研究,涵盖端点日志取证与完整 IR 报告。
Stars: 0 | Forks: 0
# IR_Project
一个在独立 VirtualBox 实验环境中进行的小型事件响应 (IR) 案例研究,模拟并调查了三种常见的攻击场景:暴力破解登录尝试、混淆的 PowerShell 执行以及恶意软件持久化技术 (MITRE ATT&CK T1547.001)。
## 实验环境设置
- **受害机:** Windows 10 (VirtualBox VM)
- **攻击机:** Kali Linux (VirtualBox VM)
- **网络:** Host-only Adapter(隔离环境,模拟期间无互联网访问)
## 使用的工具
- **Sysmon** (SwiftOnSecurity config) — 端点事件记录
- **Windows Event Viewer / Audit Policy** — 登录和 PowerShell 审计
- **Hydra** — 暴力破解模拟
- **Atomic Red Team** — 安全的 MITRE ATT&CK 技术模拟
## 调查的场景
1. **暴力破解** — 反复的 RDP 登录尝试 (Event ID 4625/4624)
2. **可疑的 PowerShell** — 编码命令执行 (Event ID 4104)
3. **恶意软件模拟 / 持久化** — 注册表 Run key 技术 T1547.001 (Event ID 1/13)
## 交付成果
完整的事件响应报告 (`IR_Report.pdf`),包含时间线、根本原因分析、遏制和修复步骤 — 见 `/report` 文件夹。
## 免责声明
本项目完全在独立的实验室环境中进行,仅用于教育目的。未针对任何真实的系统或网络进行攻击。
标签:AI合规, Conpot, OpenCanary, Windows安全, 安全实验报告, 库, 应急响应, 攻击模拟, 红队行动, 驱动签名利用