WADHAH-AA/WinLog-Forensic-Analyzer

GitHub: WADHAH-AA/WinLog-Forensic-Analyzer

一款将多个 Windows Event Log 文件关联到统一时间线并自动检测攻击 TTP 的数字取证与事件响应工具。

Stars: 0 | Forks: 0

# 🛡️ WinLog 取证导入器和分析器 一款专为安全分析师、事件响应人员和系统管理员设计的高级、高保真数字取证与事件响应(DFIR)应用程序,用于以交互式的可视化时间线导入、关联和分析 Windows Event Logs。 由 **Wadhah Anaam** 开发,专为高级数字取证操作打造。 ## 🎯 关于本项目 在安全调查期间,安全团队通常需要检查跨多台机器的多个不同日志文件(例如 Security、System、Application、PowerShell、TaskScheduler)。单独分析每个日志文件会造成巨大的可见性盲区,并减缓响应速度。 **WinLog Forensic Importer & Analyzer** 通过允许调查人员同时导入多个事件文件,并自动将其条目在统一的时间线中精确到毫秒进行合并和排序,从而解决了这个问题。 ## 💡 重要性及核心优势 * **完整的攻击链可见性**:按时间顺序交错排列不同的日志类型(例如,`Security.evtx` 中的登录失败,紧接着 `System.evtx` 中的服务持久化,随后是 `PowerShell.evtx` 中的脚本执行),以重建攻击者的时间线。 * **快速分类**:消除手动日志解析。调查人员可以使用预置的取证预设立即过滤日志。 * **可解释的分析**:将复杂的 Windows Event ID 转化为易读的阿拉伯语解释和可操作的缓解 playbook。 ## 🚀 核心功能 ### 1. 多文件日志关联 同时导入多个 Windows 日志文件。引擎会汇总所有条目,解析其 XML 结构,并将其呈现在统一的、按时间顺序排序的事件网格中。 ### 2. 多格式导入支持 WinLog 支持导入多种格式导出的 Windows Event Logs: * **`.evtx`**(标准 Windows Event Log 文件) * **`.xml`**(可扩展标记语言导出文件) * **`.json`**(JSON 格式的 Windows 日志) * **`.csv`**(逗号分隔的日志) * **`.xlsx` / `.xls`**(Microsoft Excel 电子表格) ### 3. 时间线智能与攻击关联(阿拉伯语警告) 关联引擎会自动扫描日志的时间流,以检测常见的攻击者战术、技术和程序(TTP),并在清晰的阿拉伯语叙述框中展示它们: * **防御规避 (طمس الأدلة الجنائية)**:检测日志清除事件(`Event 104`、`1102`)。 * **暴力破解检测 (محاولة اقتحام بالقوة)**:检测在成功登录(`Event 4624`)之前的多次登录失败(`Event 4625`)。 * **持久化机制 (تثبيت آلية بقاء خبيثة)**:检测在成功认证后立即快速创建的 Windows 服务(`Event 7045`)。 * **基于脚本的执行 (تنفيذ سكريبتات مشبوهة)**:检测在紧凑的时间线内执行的 PowerShell 代码块(`Event 4104`)。 ### 4. 交互式深色模式 SIEM HTML 仪表板 将当前过滤后的时间线导出为高级的**深色模式 SIEM 仪表板** HTML 报告: * 包含执行摘要指标和顶级事件 ID 图表。 * 将每个日志条目渲染为带有颜色编码严重性边框的 SIEM 事件卡片(红色代表严重,黄色代表警告等)。 * 在屏幕上的可滚动代码框内显示完整的事件消息(无隐藏文本)。 * 将自动化的 playbook 直接交错排列在匹配的事件卡片下方。 ### 5. 多选取证预设 同时切换多个预设(例如 `Successful Logons (4624)` 和 `Process Creation (4688)`),以交错和比对登录会话与程序执行情况。活动的预设会以天蓝色进行视觉高亮显示。 ## 🔧 技术栈 * **框架**:.NET 8.0 Windows (WPF) * **语言**:C# 12.0 * **日志解析库**:System.Diagnostics.Eventing.Reader * **Excel 引擎**:ExcelDataReader(用于支持 CSV/Excel 解析) * **样式**:Modern Flat UI / HSL Color System
标签:AMSI绕过, Windows事件日志, 威胁检测, 安全运营, 库, 应急响应, 扫描框架, 数字取证, 红队行动, 自动化脚本