meirwah/awesome-incident-response

# 极佳的应急响应 [](https://github.com/sindresorhus/awesome) [](https://github.com/meirwah/awesome-incident-response/actions/workflows/check_urls.yml) 数字取证与应急响应（DFIR）团队是组织内负责管理安全事件响应的一组人员，包括收集事件证据、修复事件影响以及实施控制措施以防止事件在未来再次发生。 ## 目录 - [对手模拟](#adversary-emulation) - [多合一工具](#all-in-one-tools) - [书籍](#books) - [社区](#communities) - [磁盘镜像创建工具](#disk-image-creation-tools) - [证据收集](#evidence-collection) - [事件管理](#incident-management) - [知识库](#knowledge-bases) - [Linux 发行版](#linux-distributions) - [Linux 证据收集](#linux-evidence-collection) - [日志分析工具](#log-analysis-tools) - [内存分析工具](#memory-analysis-tools) - [内存镜像工具](#memory-imaging-tools) - [OSX 证据收集](#osx-evidence-collection) - [其他列表](#other-lists) - [其他工具](#other-tools) - [行动手册](#playbooks) - [进程转储工具](#process-dump-tools) - [沙箱/逆向工具](#sandboxingreversing-tools) - [扫描工具](#scanner-tools) - [时间线工具](#timeline-tools) - [视频](#videos) - [Windows 证据收集](#windows-evidence-collection) ## IR 工具集 ### 对手模拟 * [APTSimulator](https://github.com/NextronSystems/APTSimulator) - Windows 批处理脚本，使用一组工具和输出文件使系统看起来像已被入侵。 * [Atomic Red Team (ART)](https://github.com/redcanaryco/atomic-red-team) - 映射到 MITRE ATT&CK 框架的小型且高度便携的检测测试。 * [AutoTTP](https://github.com/jymcheong/AutoTTP) - 自动化战术技术与程序。用于手动重新运行复杂序列以进行回归测试、产品评估，并为研究人员生成数据。 * [Caldera](https://github.com/mitre/caldera) - 自动化对手模拟系统，在 Windows 企业网络中执行入侵后的对抗行为。它在操作期间使用规划系统和基于对抗战术、技术和常识 (ATT&CK™) 项目的预配置对手模型来生成计划。 * [DumpsterFire](https://github.com/TryCatchHCF/DumpsterFire) - 模块化、菜单驱动、跨平台的工具，用于构建可重复、时间延迟的分布式安全事件。可轻松创建自定义事件链，用于蓝队演练和传感器/警报映射。红队可以创建诱饵事件、干扰和引诱物，以支持和扩展其行动。 * [Metta](https://github.com/uber-common/metta) - 用于进行对抗模拟的信息安全准备工具。 * [Network Flight Simulator](https://github.com/alphasoc/flightsim) - 轻量级实用程序，用于生成恶意网络流量并帮助安全团队评估安全控制和网络可见性。 * [Red Team Automation (RTA)](https://github.com/endgameinc/RTA) - RTA 提供了一个脚本框架，旨在让蓝队能够根据 MITRE ATT&CK 建模的恶意技术测试其检测能力。 * [RedHunt-OS](https://github.com/redhuntlabs/RedHunt-OS) - 用于对手模拟和威胁狩猎的虚拟机。 ### 多合一工具 * [Belkasoft Evidence Center](https://belkasoft.com/ec) - 该工具包将通过分析硬盘、驱动器镜像、内存转储、iOS、Blackberry 和 Android 备份、UFED、JTAG 和芯片转储，快速从多个来源提取数字证据。 * [CimSweep](https://github.com/PowerShellMafia/CimSweep) - 基于 CIM/WMI 的工具套件，能够跨所有版本的 Windows 远程执行应急响应和狩猎操作。 * [CIRTkit](https://github.com/byt3smith/CIRTKit) - CIRTKit 不仅是工具集合，还是一个框架，旨在帮助持续统一应急响应和取证调查流程。 * [Cyber Triage](http://www.cybertriage.com) - Cyber Triage 收集并分析主机数据以确定其是否受到破坏。它的评分系统和推荐引擎可让您快速关注重要的工件。它可以导入来自其收集工具、磁盘镜像和其他收集器（如 KAPE）的数据。它可以在检查员的桌面或服务器模型上运行。由同样开发 Autopsy 的 Sleuth Kit Labs 开发。 * [Dissect](https://github.com/fox-it/dissect) - Dissect 是一个数字取证和应急响应框架及工具集，允许您快速访问和分析来自各种磁盘和文件格式的取证工件，由 Fox-IT（NCC Group 的一部分）开发。 * [Doorman](https://github.com/mwielgoszewski/doorman) - osquery 舰队管理器，允许远程管理节点检索的 osquery 配置。它利用 osquery 的 TLS 配置、日志记录器和分布式读/写端点，让管理员以最小的开销和侵入性全面了解整个设备群。 * [Falcon Orchestrator](https://github.com/CrowdStrike/falcon-orchestrator) - 可扩展的基于 Windows 的应用程序，提供工作流自动化、案例管理和安全响应功能。 * [Flare](https://github.com/fireeye/flare-vm) - 完全可定制的基于 Windows 的安全发行版，用于恶意软件分析、应急响应、渗透测试。 * [Fleetdm](https://github.com/fleetdm/fleet) - 为安全专家量身定制的最先进的主机监控平台。利用 Facebook 经过实战考验的 osquery 项目，Fleetdm 提供持续更新、功能并能对重大问题提供快速解答。 * [GRR Rapid Response](https://github.com/google/grr) - 专注于远程实时取证的应急响应框架。它由安装在目标系统上的 python 代理（客户端）和管理并与代理通信的 python 服务器基础设施组成。除了包含的 Python API 客户端外，[PowerGRR](https://github.com/swisscom/PowerGRR) 还提供了一个 PowerShell 中的 API 客户端库，可在 Windows、Linux 和 macOS 上运行，用于 GRR 自动化和脚本编写。 * [IRIS](https://github.com/dfir-iris/iris-web) - IRIS 是一个供应急响应分析师使用的 Web 协作平台，允许在技术层面共享调查。 * [Kuiper](https://github.com/DFIRKuiper/Kuiper) - 数字取证调查平台 * [Limacharlie](https://www.limacharlie.io/) - 端点安全平台，由一系列协同工作的小型项目组成，为您提供一个跨平台（Windows、OSX、Linux、Android 和 iOS）的低级环境，用于管理和将附加模块推送到内存中以扩展其功能。 * [Matano](https://github.com/matanolabs/matano): AWS 上的开源无服务器安全湖平台，允许您将 PB 级安全数据摄取、存储和分析到 Apache Iceberg 数据湖中，并将实时 Python 检测作为代码运行。 * [MozDef](https://github.com/mozilla/MozDef) - 自动化安全事件处理过程，并促进事件处理人员的实时活动。 * [MutableSecurity](https://github.com/MutableSecurity/mutablesecurity) - 用于自动化网络安全解决方案的设置、配置和使用的 CLI 程序。 * [nightHawk](https://github.com/biggiesmallsAG/nightHawkResponse) - 使用 ElasticSearch 作为后端构建的用于异步取证数据展示的应用程序。旨在摄取 Redline 集合。 * [Open Computer Forensics Architecture](http://sourceforge.net/projects/ocfa/) - 另一个流行的分布式开源计算机取证框架。该框架建立在 Linux 平台上，并使用 postgreSQL 数据库存储数据。 * [osquery](https://osquery.io/) - 使用类似 SQL 的查询语言轻松查询有关您的 Linux 和 macOS 基础设施的问题；提供的 *incident-response pack* 可帮助您检测和响应违规行为。 * [Redline](https://www.fireeye.com/services/freeware/redline.html) - 为用户提供主机调查能力，通过内存和文件分析以及开发威胁评估配置文件来发现恶意活动的迹象。 * [SOC Multi-tool](https://github.com/zdhenard42/SOC-Multitool) - 强大且用户友好的浏览器扩展，可简化安全专业人员的调查工作。 * [The Sleuth Kit & Autopsy](http://www.sleuthkit.org) - 基于 Unix 和 Windows 的工具，有助于计算机的取证分析。它附带了各种有助于数字取证的工具。这些工具有助于分析磁盘镜像、执行文件系统深入分析以及各种其他操作。 * [TheHive](https://thehive-project.org/) - 可扩展的 3 合 1 开源免费解决方案，旨在让 SOC、CSIRT、CERT 和任何处理需要迅速调查和采取行动的安全事件的信息安全从业人员的工作更轻松。 * [Velociraptor](https://github.com/Velocidex/velociraptor) - 端点可见性和收集工具 * [X-Ways Forensics](http://www.x-ways.net/forensics/) - 用于磁盘克隆和镜像的取证工具。可用于查找已删除文件和进行磁盘分析。 * [Zentral](https://github.com/zentralopensource/zentral) - 将 osquery 强大的端点清单功能与灵活的通知和操作框架相结合。这使人们能够识别并响应 OS X 和 Linux 客户端上的更改。 ### 书籍 * [Applied Incident Response](https://www.amazon.com/Applied-Incident-Response-Steve-Anson/dp/1119560268/) - Steve Anson 关于应急响应的著作。 * [Art of Memory Forensics](https://www.amazon.com/Art-Memory-Forensics-Detecting-Malware/dp/1118825098/) - 检测 Windows、Linux 和 Mac 内存中的恶意软件和威胁。 * [Crafting the InfoSec Playbook: Security Monitoring and Incident Response Master Plan](https://www.amazon.com/Crafting-InfoSec-Playbook-Security-Monitoring/dp/1491949406) - 作者：Jeff Bollinger、Brandon Enright 和 Matthew Valites。 * [Digital Forensics and Incident Response: Incident response techniques and procedures to respond to modern cyber threats](https://www.amazon.com/Digital-Forensics-Incident-Response-techniques/dp/183864900X) - 作者：Gerard Johansen。 * [Introduction to DFIR](https://medium.com/@sroberts/introduction-to-dfir-d35d5de4c180/) - 作者：Scott J. Roberts。 * [Incident Response & Computer Forensics, Third Edition](https://www.amazon.com/Incident-Response-Computer-Forensics-Third/dp/0071798684/) - 应急响应的权威指南。 * [Incident Response Techniques for Ransomware Attacks](https://www.amazon.com/Incident-Response-Techniques-Ransomware-Attacks/dp/180324044X) - 构建勒索软件攻击应急响应策略的绝佳指南。作者：Oleg Skulkin。 * [Incident Response with Threat Intelligence](https://www.amazon.com/Incident-response-Threat-Intelligence-intelligence-based/dp/1801072957) - 基于威胁情报构建应急响应计划的绝佳参考。作者：Roberto Martinez。 * [Intelligence-Driven Incident Response](https://www.amazon.com/Intelligence-Driven-Incident-Response-Outwitting-Adversary-ebook-dp-B074ZRN5T7/dp/B074ZRN5T7) - 作者：Scott J. Roberts、Rebekah Brown。 * [Operator Handbook: Red Team + OSINT + Blue Team Reference](https://www.amazon.com/Operator-Handbook-Team-OSINT-Reference/dp/B085RR67H5/) - 应急响应人员的绝佳参考。 * [Practical Memory Forensics](https://www.amazon.com/Practical-Memory-Forensics-Jumpstart-effective/dp/1801070334) - 实践内存取证的权威指南。作者：Svetlana Ostrovskaya 和 Oleg Skulkin。 * [The Practice of Network Security Monitoring: Understanding Incident Detection and Response](http://www.amazon.com/gp/product/1593275099) - Richard Bejtlich 关于 IR 的著作。 ### 社区 * [Digital Forensics Discord Server](https://discordapp.com/invite/JUqe9Ek) - 拥有 8,000 多名来自执法部门、私营部门和取证供应商的专业人士的社区。此外，还有大量的学生和爱好者！指南见[此处](https://aboutdfir.com/a-beginners-guide-to-the-digital-forensics-discord-server/)。 * [Slack DFIR channel](https://dfircommunity.slack.com) - Slack DFIR 社区频道 - [在此注册](https://start.paloaltonetworks.com/join-our-slack-community)。 ### 磁盘镜像创建工具 * [AccessData FTK Imager](http://accessdata.com/product-download/?/support/adownloads#FTKImager) - 取证工具，其主要目的是预览从任何类型的磁盘恢复的数据。FTK Imager 还可以获取 32 位和 64 位系统上的活动内存和页面文件。 * [Bitscout](https://github.com/vitaly-kamluk/bitscout) - Vitaly Kamluk 开发的 Bitscout 可帮助您构建完全受信任的可定制 LiveCD/LiveUSB 镜像，用于远程数字取证（或您选择的任何其他任务）。它旨在对系统所有者透明且可监控，符合取证要求，且可定制和紧凑。 * [GetData Forensic Imager](http://www.forensicimager.com/) - 基于 Windows 的程序，将以以下常见取证文件格式之一获取、转换或验证取证镜像。 * [Guymager](http://guymager.sourceforge.net) - Linux 上用于媒体获取的免费取证镜像工具。 * [Magnet ACQUIRE](https://www.magnetforensics.com/magnet-acquire/) - Magnet Forensics 的 ACQUIRE 允许在 Windows、Linux 和 OS X 以及移动操作系统上执行各种类型的磁盘获取。 ### 证据收集 * [Acquire](https://github.com/fox-it/acquire) - Acquire 是一个工具，用于快速从磁盘镜像或实时系统中收集取证工件到轻量级容器中。这使 Acquire 成为加速数字取证分类过程的出色工具。如果可能，它会使用 [Dissect](https://github.com/fox-it/dissect) 从原始磁盘收集该信息。 * [artifactcollector](https://github.com/forensicanalysis/artifactcollector) - artifactcollector 项目提供了一个在系统上收集取证工件的软件。 * [bulk_extractor](https://github.com/simsong/bulk_extractor) - 计算机取证工具，可扫描磁盘镜像、文件或文件目录并提取有用信息，而无需解析文件系统或文件系统结构。由于忽略了文件系统结构，该程序在速度和彻底性方面具有优势。 * [Cold Disk Quick Response](https://github.com/rough007/CDQR) - 简化的解析器列表，用于快速分析取证镜像文件（`dd`、E01、`.vmdk` 等）并输出九份报告。 * [CyLR](https://github.com/orlikoski/CyLR) - CyLR 具快速、安全地从具有 NTFS 文件系统的主机收集取证工件，并尽量减少对主机的影响。 * [Forensic Artifacts](https://github.com/ForensicArtifacts/artifacts) - 数字取证工件存储库 * [ir-rescue](https://github.com/diogo-fernan/ir-rescue) - Windows 批处理脚本和 Unix Bash 脚本，用于在应急响应期间全面收集主机取证数据。 * [Live Response Collection](https://www.brimorlabs.com/tools/) - 自动化工具，用于从 Windows、OSX 和 *nix 基础操作系统中收集易失性数据。 * [Margarita Shotgun](https://github.com/ThreatResponse/margaritashotgun) - 命令行实用程序（支持或不支持 Amazon EC2 实例），用于并行化远程内存获取。 * [SPECTR3](https://github.com/alpine-sec/SPECTR3) - 通过便携式 iSCSI 只读访问获取、分类和调查远程证据 * [UAC](https://github.com/tclahr/uac) - UAC (Unix-like Artifacts Collector) 是一个用于应急响应的实时响应收集脚本，利用原生二进制文件和工具自动化收集 AIX、Android、ESXi、FreeBSD、Linux、macOS、NetBSD、NetScaler、OpenBSD 和 Solaris 系统的工件。 ### 事件管理 * [Catalyst](https://github.com/SecurityBrewery/catalyst) - 免费的 SOAR 系统，可帮助自动化警报处理和应急响应流程。 * [CyberCPR](https://www.cybercpr.com) - 社区和商业事件管理工具，内置 Need-to-Know 功能，支持在处理敏感事件时符合 GDPR 要求。 * [Cyphon](https://medevel.com/cyphon/) - Cyphon 通过单一平台简化众多相关任务，消除了事件管理的麻烦。它接收、处理和分类事件，为您的分析工作流程提供全方位的解决方案——聚合数据、捆绑和优先处理警报，并授权分析师调查和记录事件。 * [CORTEX XSOAR](https://www.paloaltonetworks.com/cortex/xsoar) - Paloalto 安全编排、自动化和响应平台，具有完整的事件生命周期管理和许多集成以增强自动化。 * [DFTimewolf](https://github.com/log2timeline/dftimewolf) - 用于编排取证收集、处理和数据导出的框架。 * [DFIRTrack](https://github.com/dfirtrack/dfirtrack) - 应急响应跟踪应用程序，通过案例和任务处理一个或多个涉及大量受影响系统和工件的事件。 * [Fast Incident Response (FIR)](https://github.com/certsocietegenerale/FIR/) - 旨在实现敏捷性和速度的网络安全事件管理平台。它允许轻松创建、跟踪和报告网络安全事件，对 CSIRT、CERT 和 SOC 都非常有用。 * [RTIR](https://www.bestpractical.com/rtir/) - 应急响应请求跟踪器 (RTIR) 是针对计算机安全团队的首要开源事件处理系统。我们与全球十几个 CERT 和 CSIRT 团队合作，帮助您处理不断增长的事件报告量。RTIR 建立在请求跟踪器的所有功能之上。 * [Sandia Cyber Omni Tracker (SCOT)](https://github.com/sandialabs/scot) - 专注于灵活性和易用性的应急响应协作和知识捕获工具。我们的目标是为应急响应过程增加价值，而不会给用户带来负担。 * [Shuffle](https://github.com/frikky/Shuffle) - 专注于可访问性的通用安全自动化平台。 * [threat_note](https://github.com/defpoint/threat_note) - 轻量级调查笔记本，允许安全研究人员注册和检索与其研究相关的指标。 * [Zenduty](https://www.zenduty.com) - Zenduty 是一个新颖的事件管理平台，提供端到端的事件警报、随叫随到管理和响应编排，让团队对事件管理生命周期有更大的控制和自动化。 ### 知识库 * [Digital Forensics Artifact Knowledge Base](https://github.com/ForensicArtifacts/artifacts-kb) - 数字取证工件知识库 * [Windows Events Attack Samples](https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES) - Windows 事件攻击样本 * [Windows Registry Knowledge Base](https://github.com/libyal/winreg-kb) - Windows 注册表知识库 ### Linux 发行版 * [The Appliance for Digital Investigation and Analysis (ADIA)](https://forensics.cert.org/#ADIA) - 基于 VMware 的设备，用于数字调查和获取，完全由公共领域软件构建。ADIA 中包含的工具包括 Autopsy、Sleuth Kit、Digital Forensics Framework、log2timeline、Xplico 和 Wireshark。大部分系统维护使用 Webmin。它专为中小型数字调查和获取而设计。该设备可在 Linux、Windows 和 Mac OS 下运行。同时提供 i386（32 位）和 x86_64（64 位）版本。 * [Computer Aided Investigative Environment (CAINE)](http://www.caine-live.net/index.html) - 包含许多工具，帮助调查人员在分析过程中提供帮助，包括取证证据收集。 * [CCF-VM](https://github.com/rough007/CCF-VM) - CyLR CDQR 取证虚拟机 (CCF-VM)：解析收集数据的全能解决方案，通过内置常用搜索使其易于搜索，支持同时搜索单个和多个主机。 * [NST - Network Security Toolkit](https://sourceforge.net/projects/nst/files/latest/download?source=files) - Linux 发行版，包含大量最适合网络专业人员使用的开源网络安全应用程序。 * [PALADIN](https://sumuri.com/software/paladin/) - 经过修改的 Linux 发行版，以符合取证要求的方式执行各种取证任务。它附带了许多开源取证工具。 * [Security Onion](https://github.com/Security-Onion-Solutions/security-onion) - 专注于网络安全监控的特殊 Linux 发行版，具有高级分析工具。 * [SANS Investigative Forensic Toolkit (SIFT) Workstation](http://digital-forensics.sans.org/community/downloads) - 证明可以使用免费提供且经常更新的尖端开源工具来完成针对入侵的高级应急响应能力和深度数字取证技术。 ### Linux 证据收集 * [FastIR Collector Linux](https://github.com/SekoiaLab/Fastir_Collector_Linux) - FastIR for Linux 收集实时 Linux 上的不同工件，并将结果记录在 CSV 文件中。 * [MAGNET DumpIt](https://github.com/MagnetForensics/dumpit-linux) - 快速内存获取开源工具，专为 Linux 编写，使用 Rust。生成 Linux 机器的完整内存崩溃转储。 ### 日志分析工具 * [AppCompatProcessor](https://github.com/mbevilacqua/appcompatprocessor) - AppCompatProcessor 旨在从企业范围的 AppCompat / AmCache 数据中提取额外价值，超越经典的堆叠和 grep 技术。 * [APT Hunter](https://github.com/ahmedkhlief/APT-Hunter) - APT-Hunter 是用于 Windows 事件日志的威胁狩猎工具。 * [Chainsaw](https://github.com/countercept/chainsaw) - Chainsaw 提供强大的“首次响应”能力，可快速识别 Windows 事件日志中的威胁。 * [Event Log Explorer](https://eventlogxp.com/) - 开发用于快速分析日志文件和其他数据的工具。 * [Event Log Observer](https://lizard-labs.com/event_log_observer.aspx) - 使用此 GUI 工具查看、分析和监控记录在 Microsoft Windows 事件日志中的事件。 * [Hayabusa](https://github.com/Yamato-Security/hayabusa) - Hayabusa 是由日本 Yamato Security 团队创建的 Windows 事件日志快速取证时间线生成器和威胁狩猎工具。 * [Kaspersky CyberTrace](https://support.kaspersky.com/13850) - 威胁情报融合和分析工具，将威胁数据源与 SIEM 解决方案集成。用户可以在现有安全操作的工作流程中立即利用威胁情报进行安全监控和事件报告 (IR) 活动。 * [Log Parser Lizard](https://lizard-labs.com/log_parser_lizard.aspx) - 对结构化日志数据执行 SQL 查询：服务器日志、Windows 事件、文件系统、Active Directory、log4net 日志、逗号/制表符分隔的文本、XML 或 JSON 文件。还为 Microsoft LogParser 2.2 提供带有强大 UI 元素的图形界面：语法编辑器、数据网格、图表、数据透视表、仪表板、查询管理器等。 * [Lorg](https://github.com/jensvoid/lorg) - 用于高级 HTTPD 日志文件安全分析和取证的工具。 * [Logdissect](https://github.com/dogoncouch/logdissect) - 用于分析日志文件和其他数据的 CLI 实用程序和 Python API。 * [LogonTracer](https://github.com/JPCERTCC/LogonTracer) - 通过可视化和分析 Windows 事件日志来调查恶意 Windows 登录的工具。 * [Sigma](https://github.com/SigmaHQ/sigma) - 针对已经包含广泛规则集的 SIEM 系统的通用签名格式。 * [StreamAlert](https://github.com/airbnb/streamalert) - 无服务器、实时日志数据分析框架，能够摄取自定义数据源并使用用户定义的逻辑触发警报。 * [SysmonSearch](https://github.com/JPCERTCC/SysmonSearch) - SysmonSearch 通过聚合事件日志使 Windows 事件日志分析更有效且更省时。 * [WELA](https://github.com/Yamato-Security/WELA) - Windows Event Log Analyzer 旨在成为 Windows 事件日志的瑞士军刀。 * [Zircolite](https://github.com/wagga40/Zircolite) - 独立且快速的基于 SIGMA 的 EVTX 或 JSON 检测工具。 ### 内存分析工具 * [AVML](https://github.com/microsoft/avml) - 适用于 Linux 的便携式易失性内存获取工具。 * [Evolve](https://github.com/JamesHabben/evolve) - Volatility 内存取证框架的 Web 界面。 * [inVtero.net](https://github.com/ShaneK2/inVtero.net) - 支持嵌套虚拟机管理程序的 Windows x64 高级内存分析。 * [LiME](https://github.com/504ensicsLabs/LiME) - 可加载内核模块 (LKM)，允许从 Linux 和基于 Linux 的设备获取易失性内存，以前称为 DMD。 * [MalConfScan](https://github.com/JPCERTCC/MalConfScan) - MalConfScan 是一个 Volatility 插件，用于提取已知恶意软件的配置数据。Volatility 是一个用于应急响应和恶意软件分析的开源内存取证框架。此工具在内存镜像中搜索恶意软件并转储配置数据。此外，此工具具有列出恶意代码引用的字符串的功能。 * [Memoryze](https://www.fireeye.com/services/freeware/memoryze.html) - 免费的内存取证软件，帮助应急响应人员在活动内存中寻找恶意内容。Memoryze 可以获取和/或分析内存镜像，并且在活动系统上，可以在其分析中包含页面文件。 * [Memoryze for Mac](https://www.fireeye.com/services/freeware/memoryze.html) - Memoryze for Mac 是适用于 Mac 的 Memoryze。但是功能较少。 * [MemProcFS] (https://github.com/ufrisk/MemProcFS) - MemProcFS 是一种以虚拟文件系统中的文件形式查看物理内存的简单便捷的方法。 * [Orochi](https://github.com/LDO-CERT/orochi) - Orochi 是一个用于协作取证内存转储分析的开源框架。 * [Rekall](http://www.rekall-forensic.com/) - 用于从易失性内存 (RAM) 样本中提取数字工件的开源工具（和库）。 * [Volatility](https://github.com/volatilityfoundation/volatility) - 高级内存取证框架。 * [Volatility 3](https://github.com/volatilityfoundation/volatility3) - 易失性内存提取框架（Volatility 的继任者） * [VolatilityBot](https://github.com/mkorman90/VolatilityBot) - 研究人员的自动化工具，消除了二进制提取阶段的所有猜测和手动任务，或帮助调查人员在执行内存分析调查的最初步骤中提供帮助。 * [VolDiff](https://github.com/aim4r/VolDiff) - 基于 Volatility 的恶意软件内存占用分析。 * [WindowsSCOPE](http://www.windowsscope.com/windowsscope-cyber-forensics/) - 用于分析易失性内存的内存取证和逆向工程工具，提供分析 Windows 内核、驱动程序、DLL 以及虚拟和物理内存的能力。 ### 内存镜像工具 * [Belkasoft Live RAM Capturer](http://belkasoft.com/ram-capturer) - 微小的免费取证工具，可可靠地提取计算机易失性内存的全部内容——即使受到活动的反调试或反转储系统的保护。 * [Linux Memory Grabber](https://github.com/halpomeranz/lmg/) - 用于转储 Linux 内存和创建 Volatility 配置文件的脚本。 * [MAGNET DumpIt](https://www.magnetforensics.com/resources/magnet-dumpit-for-windows) - 适用于 Windows (x86、x64、ARM64) 的快速内存获取工具。生成 Windows 机器的完整内存崩溃转储。 * [Magnet RAM Capture](https://www.magnetforensics.com/free-tool-magnet-ram-capture/) - 免费镜像工具，旨在捕获嫌疑人计算机的物理内存。支持最新版本的 Windows。 * [OSForensics](http://www.osforensics.com/) - 用于在 32 位和 64 位系统上获取活动内存的工具。可以转储单个进程的内存空间或物理内存转储。 ### OSX 证据收集 * [Knockknock](https://objective-see.com/products/knockknock.html) - 显示在 OSX 上设置为自动执行的持久项（脚本、命令、二进制文件等）。 * [macOS Artifact Parsing Tool (mac_apt)](https://github.com/ydkhatri/mac_apt) - 基于插件的取证框架，用于快速的 mac 分类，适用于实时机器、磁盘镜像或单个工件文件。 * [OSX Auditor](https://github.com/jipegit/OSXAuditor) - 免费的 Mac OS X 计算机取证工具。 * [OSX Collector](https://github.com/yelp/osxcollector) - OSX Auditor 的分支，用于实时响应。 * [The ESF Playground](https://themittenmac.com/the-esf-playground/) - 用于实时查看 Apple Endpoint Security Framework (ESF) 中事件的工具。 ### 其他列表 * [Awesome Event IDs](https://github.com/stuhli/awesome-event-ids) - 对数字取证和应急响应有用的事件 ID 资源集合。 * [Awesome Forensics](https://github.com/cugu/awesome-forensics) - 极佳的取证分析工具和资源精选列表。 * [Didier Stevens Suite](https://github.com/DidierStevens/DidierStevensSuite) - 工具集 * [Eric Zimmerman Tools](https://ericzimmerman.github.io/) - 由 SANS 研究所 Eric Zimmerman 创建的取证工具的更新列表。 * [List of various Security APIs](https://github.com/deralexxx/security-apis) - 用于安全的公共 JSON API 集合列表。 ### 其他工具 * [Cortex](https://thehive-project.org) - Cortex 允许您使用 Web 界面逐一或批量分析可观察对象，如 IP 和电子邮件地址、URL、域名、文件或哈希。分析师还可以使用其 REST API 自动化这些操作。 * [Crits](https://crits.github.io/) - 基于网络的工具，将分析引擎与网络威胁数据库相结合。 * [Diffy](https://github.com/Netflix-Skunkworks/diffy) - Netflix 的 SIRT 开发的 DFIR 工具，允许调查人员在事件期间快速确定跨云实例（目前为 AWS 上的 Linux 实例）的妥协范围，并通过显示与基线的差异来有效地对这些实例进行分类以供后续操作。 * [domfind](https://github.com/diogo-fernan/domfind) - 用于在不同 TLD 下查找相同域名的 Python DNS 爬虫。 * [Fileintel](https://github.com/keithjjones/fileintel) - 按文件哈希提取情报。 * [HELK](https://github.com/Cyb3rWard0g/HELK) - 威胁狩猎平台。 * [Hindsight](https://github.com/obsidianforensics/hindsight) - 针对 Google Chrome/Chromium 的互联网历史记录取证。 * [Hostintel](https://github.com/keithjjones/hostintel) - 按主机提取情报。 * [imagemounter](https://github.com/ralphje/imagemounter) - 命令行实用程序和 Python 包，用于简化取证磁盘镜像的（卸载）挂载。 * [Kansa](https://github.com/davehull/Kansa/) - PowerShell 中的模块化应急响应框架。 * [MFT Browser](https://github.com/kacos2000/MFT_Browser) - MFT 目录树重建和记录信息。 * [Munin](https://github.com/Neo23x0/munin) - 针对 VirusTotal 和其他服务的在线哈希检查器。 * [PowerSponse](https://github.com/swisscom/PowerSponse) - PowerSponse 是一个专注于安全应急响应期间定向隔离和修复的 PowerShell 模块。 * [PyaraScanner](https://github.com/nogoodconfig/pyarascanner) - 非常简单的多线程、多规则到多文件 YARA 扫描 Python 脚本，用于恶意软件库和 IR。 * [rastrea2r](https://github.com/rastrea2r/rastrea2r) - 允许在 Windows、Linux 和 OS X 上使用 YARA 扫描磁盘和内存以查找 IOC。 * [RaQet](https://raqet.github.io/) - 非传统的远程获取和分类工具，允许对使用专门构建的取证操作系统重新启动的远程计算机（客户端）的磁盘进行分类。 * [Raccine](https://github.com/Neo23x0/Raccine) - 简单的勒索软件防护 * [Stalk](https://www.percona.com/doc/percona-toolkit/2.2/pt-stalk.html) - 在出现问题时收集有关 MySQL 的取证数据。 * [Scout2](https://nccgroup.github.io/Scout2/) - 允许 Amazon Web Services 管理员评估其环境安全态势的安全工具。 * [Stenographer](https://github.com/google/stenographer) - 数据包捕获解决方案，旨在将所有数据包快速假脱机到磁盘，然后提供对这些数据包子集的简单、快速访问。它存储尽可能多的历史记录，管理磁盘使用，并在达到磁盘限制时删除。它非常适合在事件发生之前和期间捕获流量，而无需明确存储所有的网络流量。 * [sqhunter](https://github.com/0x4d31/sqhunter) - 基于 osquery 和 Salt Open (SaltStack) 的威胁猎手，可以发出临时或分布式查询，而无需 osquery 的 tls 插件。sqhunter 允许您查询开放的网络套接字并根据威胁情报源进行检查。 * [sysmon-config](https://github.com/SwiftOnSecurity/sysmon-config) - 具有默认高质量事件跟踪的 Sysmon 配置文件模板 * [sysmon-modular](https://github.com/olafhartong/sysmon-modular) - sysmon 配置模块的存储库 * [traceroute-circl](https://github.com/CIRCL/traceroute-circl) - 扩展的 traceroute，用于支持 CSIRT（或 CERT）操作员的活动。通常 CSIRT 团队必须根据接收到的 IP 地址处理事件。由卢森堡计算机应急响应中心创建。 * [X-Ray 2.0](https://www.raymond.cc/blog/xray/) - Windows 实用程序（维护不善或不再维护），用于向 AV 供应商提交病毒样本。 ### 行动手册 * [AWS Incident Response Runbook Samples](https://github.com/aws-samples/aws-incident-response-runbooks/tree/0d9a1c0f7ad68fb2c1b2d86be8914f2069492e21) - AWS IR Runbook 示例，旨在供每个使用它们的实体进行自定义。这三个示例是：“DoS 或 DDoS 攻击”、“凭据泄露”和“对 Amazon S3 存储桶的意外访问”。 * [Counteractive Playbooks](https://github.com/counteractive/incident-response-plan-template/tree/master/playbooks) - Counteractive 行动手册集合。 * [GuardSIght Playbook Battle Cards](https://github.com/guardsight/gsvsoc_cirt-playbook-battle-cards) - 网络应急响应行动手册战斗卡集合 * [IRM](https://github.com/certsocietegenerale/IRM) - CERT Societe Generale 的应急响应方法。 * [PagerDuty Incident Response Documentation](https://response.pagerduty.com/) - 描述 PagerDuty 应急响应过程部分的文档。它不仅提供有关为事件做准备的信息，还提供在事件期间和之后要做什么的信息。源代码可在 [GitHub](https://github.com/PagerDuty/incident-response-docs) 上获得。 * [Phantom Community Playbooks](https://github.com/phantomcyber/playbooks) - 用于 Splunk 的 Phantom 社区行动手册，也可针对其他用途进行定制。 * [ThreatHunter-Playbook](https://github.com/OTRF/ThreatHunter-Playbook) - 帮助开发狩猎活动的技术和假设的行动手册。 ### 进程转储工具 * [Microsoft ProcDump](https://docs.microsoft.com/en-us/sysinternals/downloads/procdump) - 即时转储任何正在运行的 Win32 进程内存镜像。 * [PMDump](http://www.ntsecurity.nu/toolbox/pmdump/) - 允许您将进程的内存内容转储到文件而不停止进程的工具。 ### 沙箱/逆向工具 * [Any Run](https://app.any.run/) - 交互式在线恶意软件分析服务，用于使用任何环境对大多数类型的威胁进行动态和静态研究。 * [CAPA](https://github.com/mandiant/capa) - 检测可执行文件中的功能。您可以针对 PE、ELF、.NET 模块或 shellcode 文件运行它，它会告诉您它认为该程序可以做什么。 * [CAPEv2](https://github.com/kevoreilly/CAPEv2) - 恶意软件配置和有效载荷提取。 * [Cuckoo](https://github.com/cuckoosandbox/cuckoo) - 高度可配置的开源沙箱工具。 * [Cuckoo-modified](https://github.com/spender-sandbox/cuckoo-modified) - 由社区开发的高度修改的 Cuckoo 分支。 * [Cuckoo-modified-api](https://github.com/keithjjones/cuckoo-modified-api) - 用于控制 cuckoo-modified 沙箱的 Python 库。 * [Cutter](https://github.com/rizinorg/cutter) - 由 rizin 驱动的免费开源逆向工程平台。 * [Ghidra](https://github.com/NationalSecurityAgency/ghidra) - 软件逆向工程框架。 * [Hybrid-Analysis](https://www.hybrid-analysis.com/) - CrowdStrike 提供的免费强大的在线沙箱。 * [Intezer](https://analyze.intezer.com/#/) - Intezer Analyze 深入研究 Windows 二进制文件，以检测与已知威胁的微代码相似性，从而提供准确且易于理解的结果。 * [Joe Sandbox (Community)](https://www.joesandbox.com/) - Joe Sandbox 在 Windows、Android、Mac OS、Linux 和 iOS 上检测和分析潜在的恶意文件和 URL 的可疑活动；提供全面详细的分析报告。 * [Mastiff](https://github.com/KoreLogicSecurity/mastiff) - 自动化从多种不同文件格式中提取关键特征的过程的静态分析框架。 * [Metadefender Cloud](https://www.metadefender.com) - 免费的威胁情报平台，提供文件的多重扫描、数据清理和漏洞评估。 * [Radare2](https://github.com/radareorg/radare2) - 逆向工程框架和命令行工具集。 * [Reverse.IT](https://www.reverse.it/) - CrowdStrike 提供的 Hybrid-Analysis 工具的替代域名。 * [Rizin](https://github.com/rizinorg/rizin) - 类 UNIX 的逆向工程框架和命令行工具集 * [StringSifter](https://github.com/fireeye/stringsifter) - 一种机器学习工具，根据字符串与恶意软件分析的相关性对其进行排名。 * [Threat.Zone](https://app.threat.zone) - 基于云的威胁分析平台，包括沙箱、CDR 和供研究人员使用的交互式分析。 * [Valkyrie Comodo](https://valkyrie.comodo.com) - Valkyrie 使用文件的运行时行为和数百个特征来执行分析。 * [Viper](https://github.com/viper-framework/viper) - 基于 Python 的二进制分析和管理框架，与 Cuckoo 和 YARA 配合良好。 * [Virustotal](https://www.virustotal.com) - 免费的在线服务，用于分析文件和 URL，从而能够识别由防病毒引擎和网站扫描程序检测到的病毒、蠕虫、木马和其他类型的恶意内容。 * [Visualize_Logs](https://github.com/keithjjones/visualize_logs) - 用于日志（Cuckoo、Procmon 等，后续会有更多）的开源可视化库和命令行工具。 * [Yomi](https://yomi.yoroi.company) - 由 Yoroi 管理和托管的多重免费沙箱。 ### 扫描工具 * [Fenrir](https://github.com/Neo23x0/Fenrir) - 简单的 IOC 扫描程序。它允许在纯 bash 中扫描任何 Linux/Unix/OSX 系统以查找 IOC。由 THOR 和 LOKI 的创建者创建。 * [LOKI](https://github.com/Neo23x0/Loki) - 免费的 IR 扫描程序，用于使用 yara 规则和其他指标 扫描端点。 * [Spyre](https://github.com/spyre-project/spyre) - 用 Go 编写的基于 YARA 的简单 IOC 扫描程序 ### 时间线工具 * [Aurora Incident Response](https://github.com/cyb3rfox/Aurora-Incident-Response) - 开发的平台，用于轻松构建事件的详细时间线。 * [Highlighter](https://www.fireeye.com/services/freeware/highlighter.html) - Fire/Mandiant 提供的免费工具，可描绘日志/文本文件，并可在图形上高亮显示与关键字或短语对应的区域。适用于确定感染的时间线以及受到破坏后采取的操作。 * [Morgue](https://github.com/etsy/morgue) - Etsy 用于管理事后复盘的 PHP Web 应用程序。 * [Plaso](https://github.com/log2timeline/plaso) - 工具 log2timeline 的基于 Python 的后端引擎。 * [Timesketch](https://github.com/google/timesketch) - 用于协作取证时间线分析的开源工具。 ### 视频 * [The Future of Incident Response](https://www.youtube.com/watch?v=bDcx4UNpKNc) - 由 Bruce Schneier 在 OWASP AppSecUSA 2015 上发表。 ### Windows 证据收集 * [AChoir](https://github.com/OMENScan/AChoir) - 框架/脚本工具，用于标准化和简化 Windows 实时获取实用程序的脚本编写过程。 * [Crowd Response](http://www.crowdstrike.com/community-tools/) - 轻量级 Windows 控制台应用程序，旨在帮助收集用于应急响应和安全接洽的系统信息。它具有众多模块和输出格式。 * [Cyber Triage](http://www.cybertriage.com) - Cyber Triage 具有免费使用的轻量级收集工具。它收集源文件（例如注册表配置单元和事件日志），但也会在实时主机上解析它们，以便它还可以收集启动项、计划任务等引用的可执行文件。其输出是一个 JSON 文件，可以导入到免费版的 Cyber Triage 中。Cyber Triage 由同样开发 Autopsy 的 Sleuth Kit Labs 制作。 * [DFIR ORC](https://dfir-orc.github.io/) - DFIR ORC 是一组专用工具，致力于可靠地解析和收集关键工件，如 MFT、注册表配置单元或事件日志。DFIR ORC 收集数据但不分析数据：它并非用于对机器进行分类。它提供了运行 Microsoft Windows 的机器的取证相关快照。代码可在 [GitHub](https://github.com/DFIR-ORC/dfir-orc) 上找到。 * [FastIR Collector](https://github.com/SekoiaLab/Fastir_Collector) - 在实时 Windows 系统上收集不同工件并将结果记录在 csv 文件中的工具。通过分析这些工件，可以及早发现妥协。 * [Fibratus](https://github.com/rabbitstack/fibratus) - 用于探索和跟踪 Windows 内核的工具。 * [Hoarder](https://github.com/muteb/Hoarder) - 收集用于取证或应急响应调查的最有价值的工件。 * [IREC](https://binalyze.com/products/irec-free/) - 多合一 IR 证据收集器，可捕获 RAM 镜像、$MFT、EventLogs、WMI 脚本、注册表配置单元、系统还原点等。它是免费的，极其快速且易于使用。 * [Invoke-LiveResponse](https://github.com/mgreen27/Invoke-LiveResponse) - Invoke-LiveResponse 是一个用于定向收集的实时响应工具。 * [IOC Finder](https://www.fireeye.com/services/freeware/ioc-finder.html) - Mandiant 提供的用于收集主机系统数据和报告入侵指标 存在的免费工具。仅支持 Windows。不再维护。仅完全支持到 Windows 7 / Windows Server 2008 R2。 * [IRTriage](https://github.com/AJMartel/IRTriage) - 应急响应分类 - 用于取证分析的 Windows 证据收集。 * [KAPE](https://www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape) - Eric Zimmerman 的 Kroll 工件解析器和器 (KAPE)。一种分类工具，可查找最普遍的数字工件，然后快速解析它们。在时间紧迫时非常出色和彻底。 * [LOKI](https://github.com/Neo23x0/Loki) - 免费的 IR 扫描程序，用于使用 yara 规则和其他指标 扫描端点。 * [MEERKAT](https://github.com/TonyPhipps/Meerkat) - 基于 PowerShell 的 Windows 分类和威胁狩猎。 * [Panorama](https://github.com/AlmCo/Panorama) - 实时 Windows 系统的快速事件概览。 * [PowerForensics](https://github.com/Invoke-IR/PowerForensics) - 使用 PowerShell 的实时磁盘取证平台。 * [PSRecon](https://github.com/gfoss/PSRecon/) - PSRecon 使用 PowerShell (v2 或更高版本) 从远程 Windows 主机收集数据，将数据组织到文件夹中，对所有提取的数据进行哈希处理，对 PowerShell 和各种系统属性进行哈希处理，并将数据发送给安全团队。数据可以推送到共享、通过电子邮件发送或保留在本地。 * [RegRipper](https://github.com/keydet89/RegRipper3.0) - 用 Perl 编写的开源工具，用于从注册表中提取/解析信息（键、值、数据）并将其呈现以供分析。

标签：AI合规, ESC漏洞, HTTPS请求, HTTP请求, JARM, Linux取证, macOS取证, Windows取证, 事件管理, 云资产清单, 内存分析, 可视化界面, 多线程, 安全工具集合, 安全知识库, 安全脚本, 安全资源列表, 对手模拟, 库, 应急响应, 攻击路径可视化, 数字取证, 数据展示, 日志审计, 沙箱, 磁盘镜像, 红队, 网络安全, 自动化脚本, 证据收集, 进程转储, 逆向工具, 逆向工程, 防御加固, 隐私保护, 黑客工具