itsmeRiF/dfir-framework2

GitHub: itsmeRiF/dfir-framework2

CyberX 是一个模块化的数字取证与事件响应框架,通过标准化 Artifact 解析与事件关联帮助安全人员高效完成入侵调查与威胁检测。

Stars: 0 | Forks: 0

# 🛡️ CyberX | DFIR 框架 **端到端数字取证与事件响应框架** 案例管理 • 证据处理 • Artifact 解析 • 时间线分析 • 事件关联 ## 📌 概述 CyberX DFIR Framework 是一个模块化的 **数字取证与事件响应 (DFIR)** 平台,使用 Flask 构建。 该框架提供了一个统一的调查工作区,用于: * 📁 案例管理 * 📤 证据上传与处理 * 🔍 Artifact 分析 * 🕒 时间线重构 * 🚨 事件检测与关联 * 📊 调查数据导出 所有取证 Artifact 都会被标准化为通用的 **Event Model**,允许调查人员跨以下模块分析 Artifact: * Events Explorer * Timeline View * Incident Dashboard # 🔎 Artifact 分析模块 | Artifact | 扩展名 | 解析器 / 引擎 | 输出 | | -------------------- | ----------------------------------------------------- | ---------------------------- | ----------------------------------------------- | | ✅ Windows 事件日志 | `.evtx` | Hayabusa + Sigma Rules | 威胁检测,可疑活动 | | ✅ 注册表配置单元 | SYSTEM, SOFTWARE, SAM, NTUSER.DAT | Registry Parser | 持久化机制,配置 Artifact | | ✅ 预读文件 | `.pf` | Prefetch Parser | 执行历史,LOLBin 检测 | | ✅ 跳转列表 | `.automaticDestinations-ms`, `.customDestinations-ms` | OLE + LNK Parser | 最近使用的应用程序,访问过的文件 | | 🚧 内存转储 | `.raw`, `.mem`, `.dmp`, `.vmem` | Volatility3 + IOC Extraction | 进程,网络 Artifact,内存分析 | | 🔮 浏览器历史记录 | Chrome / Edge / Firefox | Browser Parser | Web 活动重构 | # 🏗️ DFIR 处理流水线 ``` Evidence Upload | ↓ Artifact Identification | +--------------+--------------+ | | | EVTX Registry Memory | | | Hayabusa Hive Parser Volatility3 | | | +--------------+--------------+ | ↓ Normalized Event Model | +------------+------------+ | | Timeline Incident Engine | | ↓ ↓ Investigation View Threat Detection ``` # ⚙️ 安装 ## 克隆仓库 ``` git clone cd dfir-framework2 ``` ## 创建虚拟环境 ``` python -m venv .venv .venv\Scripts\activate ``` ## 安装依赖 ``` pip install -r requirements.txt ``` ## 初始化框架 ``` python bootstrap.py ``` ## 启动应用 ``` python app.py ``` 访问地址: ``` http://127.0.0.1:1338 ``` 默认凭据: ``` Username: analyst Password: analyst123 ``` # 🔥 Hayabusa 设置 (EVTX 分析) 下载 Hayabusa 并将其放置于: ``` hayabusa.exe ``` 内部目录: ``` tools/ ``` 首次使用前: ``` cd tools hayabusa.exe update-rules ``` * Sigma Detection Rules * Detection Metadata * Hayabusa Rule Configuration # 🗺️ 开发路线图 ## 第一阶段 — 核心 Windows Artifact ✅ * [x] Windows 事件日志 (EVTX) * [x] 注册表配置单元 * [x] 预读文件 * [x] 跳转列表 * [x] 内存转储 ## 第三阶段 — 文件系统取证 🔮 * [ ] 主文件表 (MFT) * [ ] USN Journal * [ ] SRUM Database * [ ] 回收站分析 # 🚀 当前功能 ✅ 案例管理 ✅ 证据库 ✅ Artifact 自动检测 ✅ Hayabusa 集成 ✅ Sigma Rule 检测 ✅ 事件标准化 ✅ 时间线分析 ✅ 事件关联 ✅ 严重性分类 ✅ 导出 CSV # 🔮 未来集成 * Volatility3 内存框架 * YARA 恶意软件检测 * MITRE ATT&CK 映射 * 威胁情报集成 * IOC 提取引擎 * 自动化调查报告
标签:逆向工具