itsmeRiF/dfir-framework2
GitHub: itsmeRiF/dfir-framework2
CyberX 是一个模块化的数字取证与事件响应框架,通过标准化 Artifact 解析与事件关联帮助安全人员高效完成入侵调查与威胁检测。
Stars: 0 | Forks: 0
# 🛡️ CyberX | DFIR 框架
**端到端数字取证与事件响应框架**
案例管理 • 证据处理 • Artifact 解析 • 时间线分析 • 事件关联
## 📌 概述
CyberX DFIR Framework 是一个模块化的 **数字取证与事件响应 (DFIR)** 平台,使用 Flask 构建。
该框架提供了一个统一的调查工作区,用于:
* 📁 案例管理
* 📤 证据上传与处理
* 🔍 Artifact 分析
* 🕒 时间线重构
* 🚨 事件检测与关联
* 📊 调查数据导出
所有取证 Artifact 都会被标准化为通用的 **Event Model**,允许调查人员跨以下模块分析 Artifact:
* Events Explorer
* Timeline View
* Incident Dashboard
# 🔎 Artifact 分析模块
| Artifact | 扩展名 | 解析器 / 引擎 | 输出 |
| -------------------- | ----------------------------------------------------- | ---------------------------- | ----------------------------------------------- |
| ✅ Windows 事件日志 | `.evtx` | Hayabusa + Sigma Rules | 威胁检测,可疑活动 |
| ✅ 注册表配置单元 | SYSTEM, SOFTWARE, SAM, NTUSER.DAT | Registry Parser | 持久化机制,配置 Artifact |
| ✅ 预读文件 | `.pf` | Prefetch Parser | 执行历史,LOLBin 检测 |
| ✅ 跳转列表 | `.automaticDestinations-ms`, `.customDestinations-ms` | OLE + LNK Parser | 最近使用的应用程序,访问过的文件 |
| 🚧 内存转储 | `.raw`, `.mem`, `.dmp`, `.vmem` | Volatility3 + IOC Extraction | 进程,网络 Artifact,内存分析 |
| 🔮 浏览器历史记录 | Chrome / Edge / Firefox | Browser Parser | Web 活动重构 |
# 🏗️ DFIR 处理流水线
```
Evidence Upload
|
↓
Artifact Identification
|
+--------------+--------------+
| | |
EVTX Registry Memory
| | |
Hayabusa Hive Parser Volatility3
| | |
+--------------+--------------+
|
↓
Normalized Event Model
|
+------------+------------+
| |
Timeline Incident Engine
| |
↓ ↓
Investigation View Threat Detection
```
# ⚙️ 安装
## 克隆仓库
```
git clone
cd dfir-framework2
```
## 创建虚拟环境
```
python -m venv .venv
.venv\Scripts\activate
```
## 安装依赖
```
pip install -r requirements.txt
```
## 初始化框架
```
python bootstrap.py
```
## 启动应用
```
python app.py
```
访问地址:
```
http://127.0.0.1:1338
```
默认凭据:
```
Username: analyst
Password: analyst123
```
# 🔥 Hayabusa 设置 (EVTX 分析)
下载 Hayabusa 并将其放置于:
```
hayabusa.exe
```
内部目录:
```
tools/
```
首次使用前:
```
cd tools
hayabusa.exe update-rules
```
* Sigma Detection Rules
* Detection Metadata
* Hayabusa Rule Configuration
# 🗺️ 开发路线图
## 第一阶段 — 核心 Windows Artifact ✅
* [x] Windows 事件日志 (EVTX)
* [x] 注册表配置单元
* [x] 预读文件
* [x] 跳转列表
* [x] 内存转储
## 第三阶段 — 文件系统取证 🔮
* [ ] 主文件表 (MFT)
* [ ] USN Journal
* [ ] SRUM Database
* [ ] 回收站分析
# 🚀 当前功能
✅ 案例管理
✅ 证据库
✅ Artifact 自动检测
✅ Hayabusa 集成
✅ Sigma Rule 检测
✅ 事件标准化
✅ 时间线分析
✅ 事件关联
✅ 严重性分类
✅ 导出 CSV
# 🔮 未来集成
* Volatility3 内存框架
* YARA 恶意软件检测
* MITRE ATT&CK 映射
* 威胁情报集成
* IOC 提取引擎
* 自动化调查报告
标签:逆向工具