Nadev9/IR_Project

GitHub: Nadev9/IR_Project

一个在 VirtualBox 隔离环境中模拟并调查三种常见攻击场景的事件响应案例研究,涵盖端点日志取证与完整 IR 报告。

Stars: 0 | Forks: 0

# IR_Project 一个在独立 VirtualBox 实验环境中进行的小型事件响应 (IR) 案例研究,模拟并调查了三种常见的攻击场景:暴力破解登录尝试、混淆的 PowerShell 执行以及恶意软件持久化技术 (MITRE ATT&CK T1547.001)。 ## 实验环境设置 - **受害机:** Windows 10 (VirtualBox VM) - **攻击机:** Kali Linux (VirtualBox VM) - **网络:** Host-only Adapter(隔离环境,模拟期间无互联网访问) ## 使用的工具 - **Sysmon** (SwiftOnSecurity config) — 端点事件记录 - **Windows Event Viewer / Audit Policy** — 登录和 PowerShell 审计 - **Hydra** — 暴力破解模拟 - **Atomic Red Team** — 安全的 MITRE ATT&CK 技术模拟 ## 调查的场景 1. **暴力破解** — 反复的 RDP 登录尝试 (Event ID 4625/4624) 2. **可疑的 PowerShell** — 编码命令执行 (Event ID 4104) 3. **恶意软件模拟 / 持久化** — 注册表 Run key 技术 T1547.001 (Event ID 1/13) ## 交付成果 完整的事件响应报告 (`IR_Report.pdf`),包含时间线、根本原因分析、遏制和修复步骤 — 见 `/report` 文件夹。 ## 免责声明 本项目完全在独立的实验室环境中进行,仅用于教育目的。未针对任何真实的系统或网络进行攻击。
标签:AI合规, Conpot, OpenCanary, Windows安全, 安全实验报告, 库, 应急响应, 攻击模拟, 红队行动, 驱动签名利用