msalman199/Windows-Digital-Forensics-Incident-Response
GitHub: msalman199/Windows-Digital-Forensics-Incident-Response
一个面向 Windows 平台的数字取证与事件响应(DFIR)综合学习资源库,提供从证据获取到威胁狩猎的全流程实战实验与自动化脚本。
Stars: 1 | Forks: 0
# 🛡️ Windows 数字取证与事件响应 (DFIR)
# 🔍 Windows 数字取证与事件响应
### *高级 Windows 端点调查、证据收集、内存分析与事件响应*
[](https://www.microsoft.com/windows)
[]()
[]()
[](https://python.org)
[]()
[]()
[]()
[]()
[]()
[]()
### 🎯 学习 • 调查 • 分析 • 狩猎 • 响应 • 恢复
# 📖 仓库目的
欢迎使用 **Windows 数字取证与事件响应 (DFIR)** 仓库。
本仓库提供了**全面的实用 DFIR 实验、调查手册、自动化脚本、取证痕迹、恶意软件分析练习和事件响应工作流**,主要针对 Windows 操作系统。
旨在帮助学生、SOC 分析师、DFIR 调查员、恶意软件分析师、蓝队和网络安全专业人员培养实际技能,以便调查网络安全事件、收集取证证据、检测攻击者活动、分析 Windows 痕迹并执行专业的事件响应。
这些实验强调使用真实世界的攻击场景、取证数据集、内存转储、事件日志、注册表痕迹和端点遥测数据进行**动手实践学习**。
# 🎯 学习目标
完成本仓库的学习后,您将能够:
- 🔍 执行 Windows 取证调查
- 🧠 分析易失性内存 (RAM)
- 💾 获取取证磁盘镜像
- 📁 恢复已删除的文件
- 🧾 调查 Windows 事件日志
- 🔑 分析 Windows 注册表痕迹
- 🕒 构建取证时间线
- 🌐 调查网络痕迹
- 📌 分析持久化机制
- 🦠 调查恶意软件感染
- 🛡️ 执行端点事件响应
- ⚡ 在 Windows 系统中进行威胁狩猎
- 📊 生成专业的取证报告
- 🤖 使用 Python 和 PowerShell 实现调查自动化
# 👨💻 目标受众
✅ 数字取证学生
✅ 事件响应人员
✅ SOC 分析师
✅ 威胁猎手
✅ 恶意软件分析师
✅ 蓝队工程师
✅ Windows 安全工程师
✅ DFIR 专业人员
✅ 网络安全研究员
# 🛠 涵盖的技术
| 类别 | 技术 |
|-----------|--------------|
| 操作系统 | Windows 10, Windows 11, Windows Server |
| 语言 | Python, PowerShell |
| 内存分析 | Volatility 3, Rekall |
| 磁盘取证 | Autopsy, FTK Imager |
| 时间线分析 | Plaso, Timesketch |
| 注册表分析 | Registry Explorer, RECmd |
| 事件日志 | EVTX Explorer, Chainsaw |
| 痕迹解析 | KAPE, Zimmerman Tools |
| 威胁狩猎 | Sigma, Velociraptor |
| 恶意软件分析 | PEStudio, Detect It Easy |
| 检测 | YARA |
| 日志记录 | Sysmon |
| 网络分析 | Wireshark |
| 报告 | Markdown, HTML, PDF |
# 🚀 学习路径
## 📘 模块 1 — Windows 取证基础
- ✅ Windows 架构
- ✅ NTFS
- ✅ MFT
- ✅ 注册表
- ✅ 事件日志
- ✅ 痕迹概述
## 💽 模块 2 — 证据获取
- 🔹 FTK Imager
- 🔹 KAPE
- 🔹 实时响应
- 🔹 磁盘镜像
- 🔹 RAM 获取
- 🔹 哈希验证
## 🧠 模块 3 — 内存取证
- 🔹 Volatility 3
- 🔹 进程枚举
- 🔹 DLL 分析
- 🔹 网络连接
- 🔹 恶意注入
- 🔹 Rootkits
## 💾 模块 4 — 磁盘取证
- 🔹 MFT 分析
- 🔹 已删除文件
- 🔹 ADS
- 🔹 回收站
- 🔹 卷影副本
- 🔹 文件恢复
## 🗝 模块 5 — 注册表取证
- 🔹 用户活动
- 🔹 USB 设备
- 🔹 已安装软件
- 🔹 自启动项
- 🔹 MRU 列表
- 🔹 Shellbags
## 📜 模块 6 — 事件日志分析
- 🔹 安全日志
- 🔹 PowerShell 日志
- 🔹 Sysmon
- 🔹 Windows Defender 日志
- 🔹 身份验证事件
- 🔹 横向移动检测
## 🦠 模块 7 — 恶意软件取证
- 🔹 恶意软件持久化
- 🔹 自启动运行
- 🔹 计划任务
- 🔹 服务
- 🔹 启动项
- 🔹 恶意 DLL
## 🌐 模块 8 — 网络取证
- 🔹 PCAP 分析
- 🔹 DNS 调查
- 🔹 SMB 活动
- 🔹 HTTP 流量
- 🔹 TLS 调查
- 🔹 Beacon 检测
## 🎯 模块 9 — 威胁狩猎
- 🔹 Sigma 规则
- 🔹 YARA 规则
- 🔹 IOC 狩猎
- 🔹 Windows 痕迹
- 🔹 MITRE ATT&CK 映射
- 🔹 检测工程
## 🚨 模块 10 — 事件响应
- 🔹 识别
- 🔹 遏制
- 🔹 根除
- 🔹 恢复
- 🔹 经验教训
- 🔹 报告
## 🤖 模块 11 — 自动化
- 🔹 Python DFIR 脚本
- 🔹 PowerShell 自动化
- 🔹 IOC 解析
- 🔹 时间线生成
- 🔹 日志收集
- 🔹 自动化报告
## 🏆 模块 12 — 顶点调查
完成端到端的 Windows 事件调查,包括:
- ✔ 证据收集
- ✔ 内存分析
- ✔ 注册表分析
- ✔ 时间线创建
- ✔ 恶意软件调查
- ✔ 威胁狩猎
- ✔ IOC 提取
- ✔ 事件报告撰写
# 🧰 推荐工具
| 工具 | 用途 |
|------|----------|
| FTK Imager | 证据获取 |
| Autopsy | 磁盘分析 |
| Volatility 3 | 内存取证 |
| KAPE | 痕迹收集 |
| Zimmerman Tools | Windows 痕迹解析 |
| Registry Explorer | 注册表分析 |
| Chainsaw | 事件日志狩猎 |
| Sysinternals Suite | Windows 调查 |
| Wireshark | 网络分析 |
| Velociraptor | 端点 DFIR |
| YARA | 恶意软件检测 |
| Sigma | 威胁检测 |
# 📚 您将获得的技能
- Windows DFIR
- 内存取证
- 磁盘分析
- 注册表分析
- 事件日志调查
- 威胁狩猎
- 恶意软件分析
- 时间线分析
- 事件响应
- IOC 提取
- 数字证据处理
- 取证报告
- Python 自动化
- PowerShell 脚本编写
# 🎖 行业框架
- ✅ MITRE ATT&CK
- ✅ NIST 事件响应框架
- ✅ SANS DFIR 方法论
- ✅ Cyber Kill Chain
- ✅ Diamond Model
- ✅ Sigma 规则
- ✅ YARA
- ✅ Windows 安全基线
# 🌟 为什么选择这个仓库?
✔ 动手实践 Windows DFIR 实验
✔ 专业调查工作流
✔ 真实事件场景
✔ 使用 Python 进行自动化
✔ PowerShell DFIR 脚本
✔ 内存与磁盘分析
✔ 注册表痕迹调查
✔ 威胁狩猎练习
✔ 蓝队技能培养
✔ 面试准备
# 🤝 贡献
欢迎贡献!
您可以通过以下方式进行贡献:
- 🐛 报告问题
- 🚀 添加新的 DFIR 实验
- 🔍 改进取证脚本
- 📚 完善文档
- ⚡ 优化自动化
- 🛡️ 分享调查技术
# 📜 许可证
本仓库仅供**教育、研究和授权的安全评估目的**使用。
在对您不拥有或不管理的系统进行取证调查之前,请务必获得适当的授权。
### 🔍 调查 • 分析 • 狩猎 • 响应 • 恢复
**祝您狩猎愉快!🛡️**
标签:AI合规, 逆向工具