SRJTools/ZimmermanWorkbench
GitHub: SRJTools/ZimmermanWorkbench
围绕 Eric Zimmerman 取证工具套件构建的 Windows DFIR 平台,通过集成 artifact 解析、证据关联、Sigma 检测和时间线分析来简化数字取证调查流程。
Stars: 0 | Forks: 0
# Zimmerman Workbench
Zimmerman Workbench 是一个 Windows 数字取证与 incident Response (DFIR) 平台,通过集成和关联从 Eric Zimmerman 工具套件收集的 artifacts,简化了取证调查工作。
该平台帮助调查人员通过 artifact 关联、时间线分析、基于 Sigma 的检测、高级搜索和调查工作流,将原始的取证 artifacts 转化为可操作的发现。
## 功能
### Artifact 处理
支持由 Eric Zimmerman 工具生成的取证 artifacts,包括:
* Windows Event Logs (EVTX)
* Master File Table (MFT)
* Registry Hives
* Prefetch
* Amcache
* ShimCache
* Jump Lists
* LNK Files
* ShellBags
### 自动工具发现
Zimmerman Workbench 会自动发现受支持的 Eric Zimmerman 可执行文件,包括位于嵌套子文件夹中的文件。
支持的工具包括:
* MFTECmd
* EvtxECmd
* RECmd
* PECmd
* JLECmd
* LECmd
* SBECmd
* AmcacheParser
* AppCompatCacheParser
## 截图
### 仪表板
中央调查 Dashboard 提供了案例统计、artifact 计数、发现摘要和调查指标。

### 分析
通过高级过滤、搜索和调查工作流分析取证 artifacts。

### 关联引擎
跨多个取证 artifacts 关联证据,以识别可疑活动和调查线索。

### 发现
审查从关联规则、Sigma 检测和取证分析中自动生成的发现。

### 调查图谱
可视化用户、进程、文件、registry 条目和取证证据之间的关系。

### 统一时间线
使用基于多个取证 artifacts 构建的统一时间线重建系统活动和攻击链。

## IOC 提取
Zimmerman Workbench 包含一个内置的 IOC 提取引擎,能够识别并从取证 artifacts 中提取指标,包括:
- IPv4 和 IPv6 地址
- 域名
- URL
- 电子邮件地址
- MD5 哈希
- SHA1 哈希
- SHA256 哈希
- 主机名
- 用户名
- 文件路径
提取的指标可以被搜索、过滤、关联和导出,以支持威胁狩猎和 incident Response 调查。
### 关联引擎
该平台跨多个 artifacts 关联证据,以帮助识别可疑活动。
示例:
* 进程执行验证
* 文件活动关联
* Registry 持久化关联
* 多 artifact 证据链接
### Sigma 检测支持
内置的 Sigma 规则支持允许调查人员识别可疑事件和已知的攻击技术。
示例:
* 服务创建
* PowerShell 滥用
* 计划任务
* 持久化机制
* 权限提升指标
### 高级搜索引擎
从单一界面搜索所有导入的 artifacts。
支持的查询:
```
eventid:4624
process:powershell.exe
user:administrator
artifact:evtx
"failed login"
eventid:4624 AND user:administrator
powershell AND NOT defender
```
### 统一时间线
调查人员可以在单一时间线中查看来自多个证据源的事件,以重建攻击活动和系统事件。
### 发现引擎
根据以下内容自动生成调查发现:
* 关联结果
* Sigma 匹配
* 可疑的 artifact 活动
### 调查图谱
可视化以下各项之间的关系:
* 用户
* 进程
* 文件
* Registry 条目
* 事件
以便更好地理解攻击链和系统活动。
### 报告
生成包含以下内容的调查报告:
* 发现
* 时间线数据
* Artifact 摘要
* Sigma 匹配
* 关联结果
## 要求
* Windows 10 / Windows 11
* Eric Zimmerman 工具
* 建议使用管理员权限
* Microsoft Visual C++ Redistributable(如需要)
## 安装说明
1. 下载最新的 **[发布版本](../../releases/latest)**。
2. 运行安装程序:
```
Zimmerman DFIR Workbench-2.6.0-win64.exe
```
3. 启动 Zimmerman Workbench。
4. 配置或扫描 Eric Zimmerman 工具。
5. 创建案例并开始分析。
## 典型工作流
1. 创建案例
2. 导入证据
3. 运行 Artifact 收集
4. 解析 Artifacts
5. 执行 Sigma 检测
6. 审查发现
7. 调查时间线
8. 导出报告
## 项目目标
创建 Zimmerman Workbench 旨在为调查人员提供一个统一的 DFIR 工作区,将以下内容结合在一起:
* Artifact 收集
* Artifact 分析
* 威胁狩猎
* 时间线重建
* Sigma 检测
* 证据关联
所有这些都在一个单一的桌面应用程序中实现。
## 免责声明
本项目 intended 用于:
* 数字取证
* Incident Response
* 安全运营
* 威胁狩猎
* 网络安全研究
用户在收集和分析取证证据时,有责任遵守所有适用的法律、法规和组织政策。
## 致谢
特别感谢 Eric Zimmerman 开发了取证工具,使全球调查人员都能使用 Windows artifact 分析。
## 👤 作者
**Sohaib JadAllah** - 网络安全 / 蓝队及系统开发者。
🔗 [LinkedIn 个人资料](https://www.linkedin.com/in/sohaibjadallah)
标签:库, 应急响应, 数字取证, 自动化脚本