msalman199/Windows-Digital-Forensics-Incident-Response

GitHub: msalman199/Windows-Digital-Forensics-Incident-Response

一个面向 Windows 平台的数字取证与事件响应(DFIR)综合学习资源库,提供从证据获取到威胁狩猎的全流程实战实验与自动化脚本。

Stars: 1 | Forks: 0

# 🛡️ Windows 数字取证与事件响应 (DFIR)
# 🔍 Windows 数字取证与事件响应 ### *高级 Windows 端点调查、证据收集、内存分析与事件响应* [![Platform](https://img.shields.io/badge/Platform-Windows-blue?style=for-the-badge&logo=windows)](https://www.microsoft.com/windows) [![DFIR](https://img.shields.io/badge/Domain-Digital%20Forensics-red?style=for-the-badge&logo=securityscorecard)]() [![Incident Response](https://img.shields.io/badge/Incident-Response-orange?style=for-the-badge&logo=probot)]() [![Python](https://img.shields.io/badge/Python-3.x-yellow?style=for-the-badge&logo=python)](https://python.org) [![PowerShell](https://img.shields.io/badge/PowerShell-7+-5391FE?style=for-the-badge&logo=powershell)]() [![MITRE ATT&CK](https://img.shields.io/badge/MITRE-ATT%26CK-red?style=for-the-badge)]() [![Sigma](https://img.shields.io/badge/Sigma-Rules-blueviolet?style=for-the-badge)]() [![YARA](https://img.shields.io/badge/YARA-Malware-green?style=for-the-badge)]() [![Velociraptor](https://img.shields.io/badge/Velociraptor-DFIR-success?style=for-the-badge)]() [![License](https://img.shields.io/badge/License-Educational-success?style=for-the-badge)]() ### 🎯 学习 • 调查 • 分析 • 狩猎 • 响应 • 恢复
# 📖 仓库目的 欢迎使用 **Windows 数字取证与事件响应 (DFIR)** 仓库。 本仓库提供了**全面的实用 DFIR 实验、调查手册、自动化脚本、取证痕迹、恶意软件分析练习和事件响应工作流**,主要针对 Windows 操作系统。 旨在帮助学生、SOC 分析师、DFIR 调查员、恶意软件分析师、蓝队和网络安全专业人员培养实际技能,以便调查网络安全事件、收集取证证据、检测攻击者活动、分析 Windows 痕迹并执行专业的事件响应。 这些实验强调使用真实世界的攻击场景、取证数据集、内存转储、事件日志、注册表痕迹和端点遥测数据进行**动手实践学习**。 # 🎯 学习目标 完成本仓库的学习后,您将能够: - 🔍 执行 Windows 取证调查 - 🧠 分析易失性内存 (RAM) - 💾 获取取证磁盘镜像 - 📁 恢复已删除的文件 - 🧾 调查 Windows 事件日志 - 🔑 分析 Windows 注册表痕迹 - 🕒 构建取证时间线 - 🌐 调查网络痕迹 - 📌 分析持久化机制 - 🦠 调查恶意软件感染 - 🛡️ 执行端点事件响应 - ⚡ 在 Windows 系统中进行威胁狩猎 - 📊 生成专业的取证报告 - 🤖 使用 Python 和 PowerShell 实现调查自动化 # 👨‍💻 目标受众 ✅ 数字取证学生 ✅ 事件响应人员 ✅ SOC 分析师 ✅ 威胁猎手 ✅ 恶意软件分析师 ✅ 蓝队工程师 ✅ Windows 安全工程师 ✅ DFIR 专业人员 ✅ 网络安全研究员 # 🛠 涵盖的技术 | 类别 | 技术 | |-----------|--------------| | 操作系统 | Windows 10, Windows 11, Windows Server | | 语言 | Python, PowerShell | | 内存分析 | Volatility 3, Rekall | | 磁盘取证 | Autopsy, FTK Imager | | 时间线分析 | Plaso, Timesketch | | 注册表分析 | Registry Explorer, RECmd | | 事件日志 | EVTX Explorer, Chainsaw | | 痕迹解析 | KAPE, Zimmerman Tools | | 威胁狩猎 | Sigma, Velociraptor | | 恶意软件分析 | PEStudio, Detect It Easy | | 检测 | YARA | | 日志记录 | Sysmon | | 网络分析 | Wireshark | | 报告 | Markdown, HTML, PDF | # 🚀 学习路径 ## 📘 模块 1 — Windows 取证基础 - ✅ Windows 架构 - ✅ NTFS - ✅ MFT - ✅ 注册表 - ✅ 事件日志 - ✅ 痕迹概述 ## 💽 模块 2 — 证据获取 - 🔹 FTK Imager - 🔹 KAPE - 🔹 实时响应 - 🔹 磁盘镜像 - 🔹 RAM 获取 - 🔹 哈希验证 ## 🧠 模块 3 — 内存取证 - 🔹 Volatility 3 - 🔹 进程枚举 - 🔹 DLL 分析 - 🔹 网络连接 - 🔹 恶意注入 - 🔹 Rootkits ## 💾 模块 4 — 磁盘取证 - 🔹 MFT 分析 - 🔹 已删除文件 - 🔹 ADS - 🔹 回收站 - 🔹 卷影副本 - 🔹 文件恢复 ## 🗝 模块 5 — 注册表取证 - 🔹 用户活动 - 🔹 USB 设备 - 🔹 已安装软件 - 🔹 自启动项 - 🔹 MRU 列表 - 🔹 Shellbags ## 📜 模块 6 — 事件日志分析 - 🔹 安全日志 - 🔹 PowerShell 日志 - 🔹 Sysmon - 🔹 Windows Defender 日志 - 🔹 身份验证事件 - 🔹 横向移动检测 ## 🦠 模块 7 — 恶意软件取证 - 🔹 恶意软件持久化 - 🔹 自启动运行 - 🔹 计划任务 - 🔹 服务 - 🔹 启动项 - 🔹 恶意 DLL ## 🌐 模块 8 — 网络取证 - 🔹 PCAP 分析 - 🔹 DNS 调查 - 🔹 SMB 活动 - 🔹 HTTP 流量 - 🔹 TLS 调查 - 🔹 Beacon 检测 ## 🎯 模块 9 — 威胁狩猎 - 🔹 Sigma 规则 - 🔹 YARA 规则 - 🔹 IOC 狩猎 - 🔹 Windows 痕迹 - 🔹 MITRE ATT&CK 映射 - 🔹 检测工程 ## 🚨 模块 10 — 事件响应 - 🔹 识别 - 🔹 遏制 - 🔹 根除 - 🔹 恢复 - 🔹 经验教训 - 🔹 报告 ## 🤖 模块 11 — 自动化 - 🔹 Python DFIR 脚本 - 🔹 PowerShell 自动化 - 🔹 IOC 解析 - 🔹 时间线生成 - 🔹 日志收集 - 🔹 自动化报告 ## 🏆 模块 12 — 顶点调查 完成端到端的 Windows 事件调查,包括: - ✔ 证据收集 - ✔ 内存分析 - ✔ 注册表分析 - ✔ 时间线创建 - ✔ 恶意软件调查 - ✔ 威胁狩猎 - ✔ IOC 提取 - ✔ 事件报告撰写 # 🧰 推荐工具 | 工具 | 用途 | |------|----------| | FTK Imager | 证据获取 | | Autopsy | 磁盘分析 | | Volatility 3 | 内存取证 | | KAPE | 痕迹收集 | | Zimmerman Tools | Windows 痕迹解析 | | Registry Explorer | 注册表分析 | | Chainsaw | 事件日志狩猎 | | Sysinternals Suite | Windows 调查 | | Wireshark | 网络分析 | | Velociraptor | 端点 DFIR | | YARA | 恶意软件检测 | | Sigma | 威胁检测 | # 📚 您将获得的技能 - Windows DFIR - 内存取证 - 磁盘分析 - 注册表分析 - 事件日志调查 - 威胁狩猎 - 恶意软件分析 - 时间线分析 - 事件响应 - IOC 提取 - 数字证据处理 - 取证报告 - Python 自动化 - PowerShell 脚本编写 # 🎖 行业框架 - ✅ MITRE ATT&CK - ✅ NIST 事件响应框架 - ✅ SANS DFIR 方法论 - ✅ Cyber Kill Chain - ✅ Diamond Model - ✅ Sigma 规则 - ✅ YARA - ✅ Windows 安全基线 # 🌟 为什么选择这个仓库? ✔ 动手实践 Windows DFIR 实验 ✔ 专业调查工作流 ✔ 真实事件场景 ✔ 使用 Python 进行自动化 ✔ PowerShell DFIR 脚本 ✔ 内存与磁盘分析 ✔ 注册表痕迹调查 ✔ 威胁狩猎练习 ✔ 蓝队技能培养 ✔ 面试准备 # 🤝 贡献 欢迎贡献! 您可以通过以下方式进行贡献: - 🐛 报告问题 - 🚀 添加新的 DFIR 实验 - 🔍 改进取证脚本 - 📚 完善文档 - ⚡ 优化自动化 - 🛡️ 分享调查技术 # 📜 许可证 本仓库仅供**教育、研究和授权的安全评估目的**使用。 在对您不拥有或不管理的系统进行取证调查之前,请务必获得适当的授权。
### 🔍 调查 • 分析 • 狩猎 • 响应 • 恢复 **祝您狩猎愉快!🛡️**
标签:AI合规, 逆向工具