mrezwanulbari/digital-forensics-dfir-toolkit

GitHub: mrezwanulbari/digital-forensics-dfir-toolkit

面向企业级数字取证与事件响应场景的实战参考工具包,提供具有法律效力的证据保管链模板、内存获取清单及核心取证操作规范,填补 IR 流程手册与底层取证技术之间的空白。

Stars: 1 | Forks: 0

# 数字取证与事件响应 (DFIR) 工具包 数字取证流程的从业人员参考指南——涵盖证据处理、内存和磁盘获取以及证据保管链文档记录,旨在通过底层的取证*技术*层,作为 [incident-response-playbooks](https://github.com/mrezwanulbari/incident-response-playbooks)(响应*流程*)的补充。 ## 为什么会有这个项目 事件响应手册告诉您在事件发生期间应该做出哪些决策。这个代码库涵盖了这些决策背后的取证机制——如何在不污染证据的情况下实际获取内存,如何维护具有法律效力的证据保管链,以及对于常见调查类型哪些工件最为关键。两者都很重要;将它们混为一谈正是为什么许多已发布的 IR 资料要么过于侧重流程而缺乏技术可操作性,要么过于技术化而无法在压力下指导决策的原因。 ## 内容概览 | 领域 | 描述 | |---|---| | `procedures/evidence-chain-of-custody-template.md` | 用于维护从获取到分析全过程中具有法律效力的证据保管链的文档模板和处理流程 | | `procedures/memory-acquisition-checklist.md` | 分步的内存获取流程,包括易失性顺序考量和常见的获取陷阱 | | `procedures/` *(不断扩充中)* | 开发完成后将添加的其他取证流程(磁盘镜像、网络取证、移动取证) | ## 核心原则 - **易失性顺序** — 在获取不易失性证据(磁盘、日志)之前,先捕获最易失性的证据(内存、网络连接),因为易失性证据会在断电或时间流逝的瞬间丢失 - **写阻断规范** — 切勿直接分析原始证据;应基于经过校验的取证副本进行工作 - **实时记录文档** — 事后发现的证据保管链漏洞,远比实时维护的记录难以辩护 - **每次交接均进行哈希校验** — 人员或系统之间的每一次证据交接,都应根据原始获取时的加密哈希值进行校验 ## 适用人群 需要在时间压力下遵循获取流程的 DFIR 分析师和事件响应人员、正在构建内部取证准备就绪能力的 SOC 团队,以及需要了解具有法律效力的证据处理实际要求的合规/法务团队。 ## 状态 积极维护中 — 新的流程在开发完成并经过实地测试后会添加。 ## 关于作者 本项目由 Shakil Md. Rezwanul Bari 维护,他是一名网络安全工程师,拥有 17 年以上的工作经验,其中包括在企业和金融部门环境中的 DFIR 工作。可通过 [LinkedIn](https://www.linkedin.com/in/rezwanulbari/) 与他联系。 ## 许可证 MIT — 请参阅 [LICENSE](LICENSE)。
标签:PB级数据处理, 域渗透, 安全运维, 库, 应急响应, 数字取证, 标准作业程序, 电子数据取证, 自动化脚本, 证据保全, 防御加固