Kassim20056/DFIR-Internship-Portfolio
GitHub: Kassim20056/DFIR-Internship-Portfolio
一份 DFIR 实习作品集,通过五个实践案例完整展示数字取证与事件响应全流程及配套方法论。
Stars: 0 | Forks: 0
# 数字取证与事件响应 (DFIR) — 实习作品集





**作者:** Kassim Galeb Mahamoud
**主办机构:** Agence Nationale de la Cybersécurité (ANC) / DJ-CERT
**领域:** 网络安全 — 数字取证与事件响应
**环境:** 沙箱化培训实验室(虚拟机) — *无真实事件或生产数据*
## 目录
1. [概述](#overview)
2. [调查与获取流程](#investigation--acquisition-flow)
3. [本仓库包含的内容](#whats-in-this-repository)
4. [案例 1 — Jimmy Wilson 磁盘取证](#case-1--jimmy-wilson-disk-forensics)
5. [案例 2 — Maryam 证据获取与监管链](#case-2--maryam-acquisition--chain-of-custody)
6. [案例 3 — 恶意软件初步分析 (Volatility 3)](#case-3--malware-triage-volatility-3)
7. [案例 4 — Hayabusa 事件日志时间线](#case-4--hayabusa-event-log-timeline)
8. [案例 5 — Wazuh SIEM 部署](#case-5--wazuh-siem-deployment)
9. [证据完整性 (Hashes)](#evidence-integrity-hashes)
10. [展示技能](#skills-demonstrated)
11. [道德、安全与使用](#ethics-safety--usage)
## 概述
本作品集记录了我在吉布提国家网络安全局进行 DFIR 实习期间获得的专业经验。通过五个不同的练习,我实践了完整的事件响应生命周期 — **获取 → 保全 → 检验 → 分析 → 报告** — 使用了行业标准工具和可重复、经得起审查的方法论。所有活动均在独立实验室中的培训系统、练习数据集和虚拟机上执行。
| 概览 | |
|---|---|
| **已完成案例** | 5 (2 次完整取证调查 + 恶意软件初步分析 + 时间线构建 + SIEM 搭建) |
| **证据类型** | E01 磁盘镜像、RAM 转储、KAPE 检查集(1,003+ 个工件)、事件日志 |
| **核心工具** | Volatility 3, KAPE, FTK Imager, DumpIt, Eric Zimmerman Tools, Hayabusa, Wazuh, Arsenal Image Mounter |
| **方法论** | 改编的 17 阶段 DFIR 工作流 ([查看详情](METHODOLOGY_17_PHASES.md)) |
| **框架** | MITRE ATT&CK 映射、监管链、加密哈希验证 |
## 调查与获取流程
```
flowchart TD
A[Scene / Target VM] --> B[Order of Volatility]
B --> C[RAM Acquisition
DumpIt] B --> D[Triage Collection
KAPE] B --> E[Full Disk Image
FTK Imager - E01] C --> F[Hash & Chain-of-Custody
MD5 / SHA-1 / SHA-256] D --> F E --> F F --> G[Mount Read-Only
Arsenal Image Mounter] G --> H[Disk Forensics
EZ Tools: LECmd / PECmd / AppCompatCache] G --> I[Memory Forensics
Volatility 3] G --> J[Event-Log Timeline
Hayabusa + Sigma] H --> K[Findings + IOCs
MITRE ATT&CK] I --> K J --> K K --> L[Professional Forensic Report] M[Continuous Monitoring
Wazuh SIEM] -.-> K ``` ## 本仓库包含的内容 | 文件 | 描述 | |---|---| | [`README.md`](README.md) | 本概述 | | [`01_JIMMY_WILSON_CASE.md`](01_JIMMY_WILSON_CASE.md) | 完整的磁盘取证调查(身份盗窃场景) | | [`02_MARYAM_ACQUISITION_CASE.md`](02_MARYAM_ACQUISITION_CASE.md) | 证据获取 + 监管链练习 | | [`03_MALWARE_TRIAGE.md`](03_MALWARE_TRIAGE.md) | 使用 Volatility 3 进行静态/动态恶意软件初步分析 | | [`04_HAYABUSA_TIMELINE.md`](04_HAYABUSA_TIMELINE.md) | 基于 Sigma 的事件日志时间线分析 | | [`05_WAZUH_SIEM_DEPLOYMENT.md`](05_WAZUH_SIEM_DEPLOYMENT.md) | 端到端 Wazuh SIEM 搭建与代理接入 | | [`METHODOLOGY_17_PHASES.md`](METHODOLOGY_17_PHASES.md) | 改编的 17 阶段 DFIR 方法论 | | [`CHAIN_OF_CUSTODY.md`](CHAIN_OF_CUSTODY.md) | 证据清单、哈希和保管记录 | | [`TOOLS.md`](TOOLS.md) | 工具参考及代表性命令索引 | | [`IOCs.csv`](IOCs.csv) | 机器可读的入侵指标 | | [`DFIR_Internship_Report_Kassim_Galeb.docx`](DFIR_Internship_Report_Kassim_Galeb.docx) | 完整的排版实习报告 | ## 案例 1 — Jimmy Wilson 磁盘取证 对归属于嫌疑人 *Jimmy Wilson* 的 **E01 磁盘镜像**进行只读检验,历经九个检验阶段(LNK、Prefetch、ShimCache、浏览器历史记录、文档元数据),查明了正在进行的活动身份盗窃和文件造假操作。 **亮点:** 受害者 PII 电子表格(4 名受害者,包含全名/出生日期/社会安全号码);关于同谋者的 BCTextEncoder 加密通信;浏览器搜索过 *"如何窃取身份"*;对 Zebra ID 卡打印机的研究;正在使用中的 TrueCrypt 卷;故意删除的 "New Prices" 文件夹(反取证行为)。 → [阅读完整报告](01_JIMMY_WILSON_CASE.md) ## 案例 2 — Maryam 证据获取与监管链 在主机 **DESKTOP-2Q2EPKM**(用户 `maryam.var`)上进行的结构化获取练习,遵循易失性顺序:RAM 转储 (DumpIt) → KAPE 检查 → 完整 E01 磁盘镜像 (FTK Imager) → 哈希验证。检查中发现了针对商业键盘记录器、下载的木马、具有服务/计划任务持久性的 AutoKMS 黑客工具、Defender 篡改以及 DLL 注入器的 Defender 检测记录。 → [阅读完整报告](02_MARYAM_ACQUISITION_CASE.md) ## 案例 3 — 恶意软件初步分析 (Volatility 3) 从 Maryam 主机中提取恶意软件样本,并进行基于内存的静态/动态初步分析,并映射到 MITRE ATT&CK。 → [阅读完整报告](03_MALWARE_TRIAGE.md) ## 案例 4 — Hayabusa 事件日志时间线 使用 **Hayabusa** (Yamato Security) 处理收集到的 Windows 事件日志,构建基于 Sigma 规则的检测时间线,并使用 Core+ 规则集以获得最佳的 DFIR 信噪比。 → [阅读完整报告](04_HAYABUSA_TIMELINE.md) ## 案例 5 — Wazuh SIEM 部署 在 VPS 上部署集中式 **Wazuh** SIEM,接入 Windows agent,并在仪表板中验证端到端的日志/告警流。 → [阅读完整报告](05_WAZUH_SIEM_DEPLOYMENT.md) ## 证据完整性 | 证据 | 算法 | 值 | 状态 | |---|---|---|---| | E-01 (内存) | SHA-256 | `7c93c1a808c4cc8021ae95e1526495ff4d38da0d82d5d2adbd808e646d60996c` | 已记录 | | E-02 (磁盘) | MD5 | `74313aabb222d81b9eec44a6e0199b6f` | 匹配 | | E-02 (磁盘) | SHA-1 | `e871c8e1abe694c00f0565c3eeffd4de30b3b122` | 匹配 | 完整清单见 [`CHAIN_OF_CUSTODY.md`](CHAIN_OF_CUSTODY.md)。 ## 展示技能 - **取证获取** — 遵循易失性顺序,进行内存 (DumpIt)、检查 (KAPE) 和全盘 (FTK Imager, E01) 捕获。 - **证据完整性** — MD5/SHA-1/SHA-256 哈希校验、只读挂载、有据可查的监管链。 - **磁盘取证** — 使用 Eric Zimmerman Tools 分析 LNK、Prefetch、ShimCache/AppCompatcache、MFT 以及浏览器工件。 - **内存取证** — 使用 Volatility 3 进行进程、网络、注入和持久性分析。 - **恶意软件初步分析** — 静态(strings、PE、YARA、capa)和动态(沙箱)分析;MITRE ATT&CK 映射。 - **检测工程** — 使用 Hayabusa 进行基于 Sigma 的事件日志时间线分析。 - **蓝队运营** — Wazuh SIEM 部署、代理接入和告警监控。 - **专业报告** — 经得起审查的调查结果、IOC 提取、时间线和改进建议。 ## 道德、安全与使用 所有工作均在练习数据集和虚拟机上的**独立、沙箱化培训实验室**中进行 — 从未涉及真实事件、真实受害者或生产系统。案例名称和人物设定(例如 "Jimmy Wilson"、"Maryam")均为培训场景。本仓库不分发任何恶意软件样本;出于教育和作品集的目的,仅记录相关的指标、分类和方法论。 **许可证:** [MIT](LICENSE) — 文档与分析。 **鸣谢:** 实习由吉布提共和国的 Agence Nationale de la Cybersécurité (ANC) / DJ-CERT 提供支持。
DumpIt] B --> D[Triage Collection
KAPE] B --> E[Full Disk Image
FTK Imager - E01] C --> F[Hash & Chain-of-Custody
MD5 / SHA-1 / SHA-256] D --> F E --> F F --> G[Mount Read-Only
Arsenal Image Mounter] G --> H[Disk Forensics
EZ Tools: LECmd / PECmd / AppCompatCache] G --> I[Memory Forensics
Volatility 3] G --> J[Event-Log Timeline
Hayabusa + Sigma] H --> K[Findings + IOCs
MITRE ATT&CK] I --> K J --> K K --> L[Professional Forensic Report] M[Continuous Monitoring
Wazuh SIEM] -.-> K ``` ## 本仓库包含的内容 | 文件 | 描述 | |---|---| | [`README.md`](README.md) | 本概述 | | [`01_JIMMY_WILSON_CASE.md`](01_JIMMY_WILSON_CASE.md) | 完整的磁盘取证调查(身份盗窃场景) | | [`02_MARYAM_ACQUISITION_CASE.md`](02_MARYAM_ACQUISITION_CASE.md) | 证据获取 + 监管链练习 | | [`03_MALWARE_TRIAGE.md`](03_MALWARE_TRIAGE.md) | 使用 Volatility 3 进行静态/动态恶意软件初步分析 | | [`04_HAYABUSA_TIMELINE.md`](04_HAYABUSA_TIMELINE.md) | 基于 Sigma 的事件日志时间线分析 | | [`05_WAZUH_SIEM_DEPLOYMENT.md`](05_WAZUH_SIEM_DEPLOYMENT.md) | 端到端 Wazuh SIEM 搭建与代理接入 | | [`METHODOLOGY_17_PHASES.md`](METHODOLOGY_17_PHASES.md) | 改编的 17 阶段 DFIR 方法论 | | [`CHAIN_OF_CUSTODY.md`](CHAIN_OF_CUSTODY.md) | 证据清单、哈希和保管记录 | | [`TOOLS.md`](TOOLS.md) | 工具参考及代表性命令索引 | | [`IOCs.csv`](IOCs.csv) | 机器可读的入侵指标 | | [`DFIR_Internship_Report_Kassim_Galeb.docx`](DFIR_Internship_Report_Kassim_Galeb.docx) | 完整的排版实习报告 | ## 案例 1 — Jimmy Wilson 磁盘取证 对归属于嫌疑人 *Jimmy Wilson* 的 **E01 磁盘镜像**进行只读检验,历经九个检验阶段(LNK、Prefetch、ShimCache、浏览器历史记录、文档元数据),查明了正在进行的活动身份盗窃和文件造假操作。 **亮点:** 受害者 PII 电子表格(4 名受害者,包含全名/出生日期/社会安全号码);关于同谋者的 BCTextEncoder 加密通信;浏览器搜索过 *"如何窃取身份"*;对 Zebra ID 卡打印机的研究;正在使用中的 TrueCrypt 卷;故意删除的 "New Prices" 文件夹(反取证行为)。 → [阅读完整报告](01_JIMMY_WILSON_CASE.md) ## 案例 2 — Maryam 证据获取与监管链 在主机 **DESKTOP-2Q2EPKM**(用户 `maryam.var`)上进行的结构化获取练习,遵循易失性顺序:RAM 转储 (DumpIt) → KAPE 检查 → 完整 E01 磁盘镜像 (FTK Imager) → 哈希验证。检查中发现了针对商业键盘记录器、下载的木马、具有服务/计划任务持久性的 AutoKMS 黑客工具、Defender 篡改以及 DLL 注入器的 Defender 检测记录。 → [阅读完整报告](02_MARYAM_ACQUISITION_CASE.md) ## 案例 3 — 恶意软件初步分析 (Volatility 3) 从 Maryam 主机中提取恶意软件样本,并进行基于内存的静态/动态初步分析,并映射到 MITRE ATT&CK。 → [阅读完整报告](03_MALWARE_TRIAGE.md) ## 案例 4 — Hayabusa 事件日志时间线 使用 **Hayabusa** (Yamato Security) 处理收集到的 Windows 事件日志,构建基于 Sigma 规则的检测时间线,并使用 Core+ 规则集以获得最佳的 DFIR 信噪比。 → [阅读完整报告](04_HAYABUSA_TIMELINE.md) ## 案例 5 — Wazuh SIEM 部署 在 VPS 上部署集中式 **Wazuh** SIEM,接入 Windows agent,并在仪表板中验证端到端的日志/告警流。 → [阅读完整报告](05_WAZUH_SIEM_DEPLOYMENT.md) ## 证据完整性 | 证据 | 算法 | 值 | 状态 | |---|---|---|---| | E-01 (内存) | SHA-256 | `7c93c1a808c4cc8021ae95e1526495ff4d38da0d82d5d2adbd808e646d60996c` | 已记录 | | E-02 (磁盘) | MD5 | `74313aabb222d81b9eec44a6e0199b6f` | 匹配 | | E-02 (磁盘) | SHA-1 | `e871c8e1abe694c00f0565c3eeffd4de30b3b122` | 匹配 | 完整清单见 [`CHAIN_OF_CUSTODY.md`](CHAIN_OF_CUSTODY.md)。 ## 展示技能 - **取证获取** — 遵循易失性顺序,进行内存 (DumpIt)、检查 (KAPE) 和全盘 (FTK Imager, E01) 捕获。 - **证据完整性** — MD5/SHA-1/SHA-256 哈希校验、只读挂载、有据可查的监管链。 - **磁盘取证** — 使用 Eric Zimmerman Tools 分析 LNK、Prefetch、ShimCache/AppCompatcache、MFT 以及浏览器工件。 - **内存取证** — 使用 Volatility 3 进行进程、网络、注入和持久性分析。 - **恶意软件初步分析** — 静态(strings、PE、YARA、capa)和动态(沙箱)分析;MITRE ATT&CK 映射。 - **检测工程** — 使用 Hayabusa 进行基于 Sigma 的事件日志时间线分析。 - **蓝队运营** — Wazuh SIEM 部署、代理接入和告警监控。 - **专业报告** — 经得起审查的调查结果、IOC 提取、时间线和改进建议。 ## 道德、安全与使用 所有工作均在练习数据集和虚拟机上的**独立、沙箱化培训实验室**中进行 — 从未涉及真实事件、真实受害者或生产系统。案例名称和人物设定(例如 "Jimmy Wilson"、"Maryam")均为培训场景。本仓库不分发任何恶意软件样本;出于教育和作品集的目的,仅记录相关的指标、分类和方法论。 **许可证:** [MIT](LICENSE) — 文档与分析。 **鸣谢:** 实习由吉布提共和国的 Agence Nationale de la Cybersécurité (ANC) / DJ-CERT 提供支持。
标签:DAST, SecList, 内存取证, 子域名变形, 库, 应急响应, 恶意软件分析, 数字取证, 磁盘取证, 自动化脚本