AndrewRathbun/DFIRArtifactMuseum

DFIR Artifact Museum

## 描述 DFIR Artifact Museum 是一个由社区驱动的 DFIR 相关证据文件档案库。它的创建旨在为各种操作系统的证据文件示例提供一个集中的存放位置。 ## 目的 为了提高样本证据文件的获取便利性，避免研究人员重复耗费精力去生成那些本应该只需生成一次即可的数据，并将其与社区共享，从而让每个人都能将更多的时间和精力投入到分析上，而不是证据文件的生成上。 ## 益处 希望通过将各种操作系统的证据文件集中在一个位置并进行更多展示，让从未使用过 Linux 的人能更熟悉 Linux 证据文件的样式。对于只使用 Linux 而不使用 Windows 的人来说也是如此。 此外，通过更多地接触证据文件，希望那些喜欢开发工具的人能够获得样本数据，从而据此创建解析器并与社区共享。能够随时获取作为样本数据的证据文件，可以省去将解析工具的想法转化为实际创建并分享过程中的一个大麻烦。 ## DFIRArtifactMuseum 路线图 想了解 DFIRArtifactMuseum 仓库的未来规划吗？请查看[项目看板](https://github.com/AndrewRathbun/DFIRArtifactMuseum/projects)，里面可以找到待办事项列表！ ## 贡献于 DFIRArtifactMuseum 如果您想了解如何为 DFIRArtifactMuseum 做贡献，请查阅 [CONTRIBUTING.md](https://github.com/AndrewRathbun/DFIRArtifactMuseum/blob/main/CONTRIBUTING.md)。 ## 其他感兴趣的项目 * [EVTX-ETW-Resources](https://github.com/nasbench/EVTX-ETW-Resources) - 这个仓库包含 XML 和 CSV 文件，其中涵盖了几乎所有主要版本的 Windows 8、10 和 11 以及 Windows Server 2016、2019 和 2022 的每个事件提供者的每个事件 ID、事件消息等。您知道 Windows 中的大多数事件提供者都是禁用的吗？现在您可以全面了解 Windows 附带的每一个事件提供者。此外，您再也不必猜测 Windows 原生提供者的某个事件 ID 是什么意思了。只需在仓库中搜索，答案就在那里！[ETWProvidersManifests](https://github.com/nasbench/EVTX-ETW-Resources/tree/main/ETWProvidersManifests) 将包含由 [WEPExplorer](https://github.com/lallousx86/WinTools/tree/master/WEPExplorer) 生成的原始 XML 文件，而 [ETWEventsList](https://github.com/nasbench/EVTX-ETW-Resources/tree/main/ETWEventsList) 将包含由这些 XML 生成的 CSV 文件。每个 Windows 版本对应一个 CSV 文件，其中列出了所有事件提供者及相关联的事件 ID。 * [VanillaWindowsRegistryHives](https://github.com/AndrewRathbun/VanillaWindowsRegistryHives) - 这个仓库包含 ZIP 文件，其中存放了全新安装后的原始注册表配置单元以及这些注册表配置单元的 JSON 转储（从最顶层的 ROOT 键开始），涵盖了几乎所有主要版本的 Windows 8、10 和 11 以及 Windows Server 2016、2019 和 2022。这是查看用户活动介入之前注册表中正常状态的绝佳方式。 * [VanillaWindowsReference](https://github.com/AndrewRathbun/VanillaWindowsReference) - 这个仓库包含一个 CSV 文件，其中列出了几乎所有主要版本的 Windows 8、10 和 11 以及 Windows Server 2016、2019 和 2022 全新安装时附带的每一个文件的目录列表。这包括每个文件的文件名、父文件夹、哈希值、文件大小等。这是了解文件在 Windows 系统中应存放在何处的完美方式。此外，从技术上讲，也可以利用此数据集生成已知良好文件的开源哈希数据库。 * [AboutDFIR - Tool Testing](https://aboutdfir.com/resources/tool-testing/) - AboutDFIR 有一个工具测试页面，其中包含指向许多其他取证镜像的链接。可用于研究或验证您的发现！ * [ArtifactParsers](https://github.com/Digital-Forensics-Discord-Server/ArtifactParsers) - 正在寻找解析此仓库中发现的证据文件的方法吗？别再找了！这是一个针对各种证据文件的解析器综合列表（可能永远无法穷尽），并按 CLI、GUI 或两者兼有进行分类。 ## 致谢 特别感谢 [Kevin Pagano](https://twitter.com/KevinPagano3) 提供的[精美 Logo](https://github.com/AndrewRathbun/DFIRArtifactMuseum/blob/main/DFIRArtifactMuseumLogo.jpg)！ ## 许可/来源归属 * Android 7-10 镜像 - [Digital Corpora](https://digitalcorpora.org/corpora/cell-phones)（已获得 [Josh Hickman](https://twitter.com/josh_hickman1) 的明确授权，并在公共领域发布） * Android 11-12 - [Josh Hickman 的博客](https://thebinaryhick.blog/)（已获得明确授权） * Belkasoft CTF 证据文件 - [Belkasoft CTF - Insider Threat](https://belkasoft.com/ctf_march/)（已获得明确授权） * Eric Zimmerman 的证据文件 - [Eric Zimmerman](https://twitter.com/EricRZimmerman)（已获得明确授权） * [AppCompatCacheParser](https://github.com/EricZimmerman/AppCompatCacheParser/tree/master/AppCompatCacheParserTest/TestFiles) * [JumpList](https://github.com/EricZimmerman/JumpList/tree/master/JumpList.Test/TestFiles) * [Lnk](https://github.com/EricZimmerman/Lnk/tree/master/Lnk.Test/TestFiles) * [MFT](https://github.com/EricZimmerman/MFT/tree/master/MFT.Test/TestFileshttps://github.com/EricZimmerman/MFT/tree/master/MFT.Test/TestFiles) * [OleCf](https://github.com/EricZimmerman/OleCf/tree/master/OleCf.Test/TestFiles) * [Prefetch](https://github.com/EricZimmerman/Prefetch/tree/master/Prefetch.Test/TestFiles) * [RBCmd](https://github.com/EricZimmerman/RBCmd/tree/master/RecycleBin.Test/TestFiles) * [RecentFileCacheParser](https://github.com/EricZimmerman/RecentFileCacheParser/tree/master/RecentFileCache.Test/Files) * [Registry](https://github.com/EricZimmerman/Registry/tree/master/Registry.Test) * [SDB](https://github.com/EricZimmerman/SDB/tree/master/SBD.Test/Test%20Files) * [James Smith](https://twitter.com/DFIRmadness) - [The Case of the Stolen Szechuan Sauce](https://dfirmadness.com/the-stolen-szechuan-sauce/)（已获得明确授权） * [Maxim Suhanov](https://twitter.com/errno_fail) - 来自[他的 GitHub 仓库](https://github.com/msuhanov?tab=repositories)的各种样本（已获得[明确授权](https://twitter.com/errno_fail/status/1509473411793408005?s=20&t=QPEMSLpH1eLvkqcVBQQHBg)） 请参阅 Digital Corpora 关于 `Bringing science to digital forensics with standardized forensic corpora` 的[研究论文](https://simson.net/clips/academic/2009.DFRWS.Corpora.pdf)

标签：DNS解析, HTTPS请求, HTTP请求, Linux取证, macOS取证, Windows取证, 历史版本归档, 后端开发, 域渗透, 库, 应急响应, 开源项目, 操作系统取证, 数字取证, 数据管理, 样本库, 电子数据取证, 网络安全, 网络安全研究, 自动化脚本, 证据验证, 隐私保护