SRJTools/ZimmermanWorkbench

GitHub: SRJTools/ZimmermanWorkbench

围绕 Eric Zimmerman 取证工具套件构建的 Windows DFIR 平台,通过集成 artifact 解析、证据关联、Sigma 检测和时间线分析来简化数字取证调查流程。

Stars: 0 | Forks: 0

# Zimmerman Workbench Zimmerman Workbench 是一个 Windows 数字取证与 incident Response (DFIR) 平台,通过集成和关联从 Eric Zimmerman 工具套件收集的 artifacts,简化了取证调查工作。 该平台帮助调查人员通过 artifact 关联、时间线分析、基于 Sigma 的检测、高级搜索和调查工作流,将原始的取证 artifacts 转化为可操作的发现。 ## 功能 ### Artifact 处理 支持由 Eric Zimmerman 工具生成的取证 artifacts,包括: * Windows Event Logs (EVTX) * Master File Table (MFT) * Registry Hives * Prefetch * Amcache * ShimCache * Jump Lists * LNK Files * ShellBags ### 自动工具发现 Zimmerman Workbench 会自动发现受支持的 Eric Zimmerman 可执行文件,包括位于嵌套子文件夹中的文件。 支持的工具包括: * MFTECmd * EvtxECmd * RECmd * PECmd * JLECmd * LECmd * SBECmd * AmcacheParser * AppCompatCacheParser ## 截图 ### 仪表板 中央调查 Dashboard 提供了案例统计、artifact 计数、发现摘要和调查指标。 ![Dashboard](https://static.pigsec.cn/wp-content/uploads/repos/cas/2e/2e7aa8e387914e45dce7f73ae7030f5773199bb925bc13e437901721a93d36eb.png) ### 分析 通过高级过滤、搜索和调查工作流分析取证 artifacts。 ![分析](https://static.pigsec.cn/wp-content/uploads/repos/cas/ce/cee7310b109f47655ef4d94cfcaeb5402d68fa32796b51c694355dea0097ca57.png) ### 关联引擎 跨多个取证 artifacts 关联证据,以识别可疑活动和调查线索。 ![关联](https://static.pigsec.cn/wp-content/uploads/repos/cas/7a/7a6b9374abc82e8972b39fc9172c1bc803bf19916cbfda47908af2d82bd39827.png) ### 发现 审查从关联规则、Sigma 检测和取证分析中自动生成的发现。 ![发现](https://static.pigsec.cn/wp-content/uploads/repos/cas/9c/9c8a12df03aa754759498dae6183be19592f352d35938b331b534dab0aeb3cf0.png) ### 调查图谱 可视化用户、进程、文件、registry 条目和取证证据之间的关系。 ![图谱](https://static.pigsec.cn/wp-content/uploads/repos/cas/c4/c4005c6837b05bd78906d7f182f2ab9ec3aa35f0b61c74b57f458cba615790cf.png) ### 统一时间线 使用基于多个取证 artifacts 构建的统一时间线重建系统活动和攻击链。 ![时间线](https://static.pigsec.cn/wp-content/uploads/repos/cas/4c/4c6ff1bfe8bfce5631f87caf8f0d06dc3377da471154d324bb64138c5aa42992.png) ## IOC 提取 Zimmerman Workbench 包含一个内置的 IOC 提取引擎,能够识别并从取证 artifacts 中提取指标,包括: - IPv4 和 IPv6 地址 - 域名 - URL - 电子邮件地址 - MD5 哈希 - SHA1 哈希 - SHA256 哈希 - 主机名 - 用户名 - 文件路径 提取的指标可以被搜索、过滤、关联和导出,以支持威胁狩猎和 incident Response 调查。 ### 关联引擎 该平台跨多个 artifacts 关联证据,以帮助识别可疑活动。 示例: * 进程执行验证 * 文件活动关联 * Registry 持久化关联 * 多 artifact 证据链接 ### Sigma 检测支持 内置的 Sigma 规则支持允许调查人员识别可疑事件和已知的攻击技术。 示例: * 服务创建 * PowerShell 滥用 * 计划任务 * 持久化机制 * 权限提升指标 ### 高级搜索引擎 从单一界面搜索所有导入的 artifacts。 支持的查询: ``` eventid:4624 process:powershell.exe user:administrator artifact:evtx "failed login" eventid:4624 AND user:administrator powershell AND NOT defender ``` ### 统一时间线 调查人员可以在单一时间线中查看来自多个证据源的事件,以重建攻击活动和系统事件。 ### 发现引擎 根据以下内容自动生成调查发现: * 关联结果 * Sigma 匹配 * 可疑的 artifact 活动 ### 调查图谱 可视化以下各项之间的关系: * 用户 * 进程 * 文件 * Registry 条目 * 事件 以便更好地理解攻击链和系统活动。 ### 报告 生成包含以下内容的调查报告: * 发现 * 时间线数据 * Artifact 摘要 * Sigma 匹配 * 关联结果 ## 要求 * Windows 10 / Windows 11 * Eric Zimmerman 工具 * 建议使用管理员权限 * Microsoft Visual C++ Redistributable(如需要) ## 安装说明 1. 下载最新的 **[发布版本](../../releases/latest)**。 2. 运行安装程序: ``` Zimmerman DFIR Workbench-2.6.0-win64.exe ``` 3. 启动 Zimmerman Workbench。 4. 配置或扫描 Eric Zimmerman 工具。 5. 创建案例并开始分析。 ## 典型工作流 1. 创建案例 2. 导入证据 3. 运行 Artifact 收集 4. 解析 Artifacts 5. 执行 Sigma 检测 6. 审查发现 7. 调查时间线 8. 导出报告 ## 项目目标 创建 Zimmerman Workbench 旨在为调查人员提供一个统一的 DFIR 工作区,将以下内容结合在一起: * Artifact 收集 * Artifact 分析 * 威胁狩猎 * 时间线重建 * Sigma 检测 * 证据关联 所有这些都在一个单一的桌面应用程序中实现。 ## 免责声明 本项目 intended 用于: * 数字取证 * Incident Response * 安全运营 * 威胁狩猎 * 网络安全研究 用户在收集和分析取证证据时,有责任遵守所有适用的法律、法规和组织政策。 ## 致谢 特别感谢 Eric Zimmerman 开发了取证工具,使全球调查人员都能使用 Windows artifact 分析。 ## 👤 作者 **Sohaib JadAllah** - 网络安全 / 蓝队及系统开发者。 🔗 [LinkedIn 个人资料](https://www.linkedin.com/in/sohaibjadallah)
标签:库, 应急响应, 数字取证, 自动化脚本