Correia-jpv/fucking-awesome-incident-response

# Awesome Incident Response [](https://github.com/sindresorhus/awesome) [](https://github.com/correia-jpv/fucking-awesome-incident-response/actions/workflows/check_urls.yml) 数字取证和事件响应 (DFIR) 团队是组织中负责管理安全事件响应的一组人员，包括收集事件证据、修复其影响以及实施控制措施以防止事件未来再次发生。 ## 目录 - [对手模拟](#adversary-emulation) - [多合一工具](#all-in-one-tools) - [书籍](#books) - [社区](#communities) - [磁盘镜像创建工具](#disk-image-creation-tools) - [证据收集](#evidence-collection) - [事件管理](#incident-management) - [知识库](#knowledge-bases) - [Linux 发行版](#linux-distributions) - [Linux 证据收集](#linux-evidence-collection) - [日志分析工具](#log-analysis-tools) - [内存分析工具](#memory-analysis-tools) - [内存镜像工具](#memory-imaging-tools) - [OSX 证据收集](#osx-evidence-collection) - [其他列表](#other-lists) - [其他工具](#other-tools) - [行动手册](#playbooks) - [进程转储工具](#process-dump-tools) - [沙箱/逆向工具](#sandboxingreversing-tools) - [扫描工具](#scanner-tools) - [时间线工具](#timeline-tools) - [视频](#videos) - [Windows 证据收集](#windows-evidence-collection) ## IR 工具集 ### 对手模拟 *   2714⭐    455🍴 [APTSimulator](https://github.com/NextronSystems/APTSimulator)) - Windows 批处理脚本，使用一组工具和输出文件使系统看起来像已被入侵。 *  11634⭐   3068🍴 [Atomic Red Team (ART)](https://github.com/redcanaryco/atomic-red-team)) - 映射到 MITRE ATT&CK 框架的小型且高度可移植的检测测试。 *    259⭐     66🍴 [AutoTTP](https://github.com/jymcheong/AutoTTP)) - 自动化战术、技术和程序。重新手动运行复杂的序列以进行回归测试、产品评估，为研究人员生成数据。 *   6782⭐   1293🍴 [Caldera](https://github.com/mitre/caldera)) - 自动化对手模拟系统，在 Windows 企业网络内执行入侵后的对抗行为。它在运行期间使用规划系统和基于对抗战术、技术和通用知识 (ATT&CK™) 项目的预配置对手模型来生成计划。 *   1035⭐    149🍴 [DumpsterFire](https://github.com/TryCatchHCF/DumpsterFire)) - 用于构建可重复、时间延迟、分布式安全事件的模块化、菜单驱动、跨平台工具。轻松创建用于蓝队演练和传感器/警报映射的自定义事件链。红队可以创建诱饵事件、干扰和诱饵，以支持和扩展其行动。 *   1137⭐    156🍴 [Metta](https://github.com/uber-common/metta)) - 用于进行对抗模拟的信息安全准备工具。 *   1354⭐    148🍴 [Network Flight Simulator](https://github.com/alphasoc/flightsim)) - 用于生成恶意网络流量的轻量级实用程序，帮助安全团队评估安全控制和网络可见性。 *   1090⭐    217🍴 [Red Team Automation (RTA)](https://github.com/endgameinc/RTA)) - RTA 提供了一个脚本框架，旨在让蓝团针对基于 MITRE ATT&CK 模型的恶意策略测试其检测能力。 *   1313⭐    199🍴 [RedHunt-OS](https://github.com/redhuntlabs/RedHunt-OS)) - 用于对手模拟和威胁狩猎的虚拟机。 ### 多合一工具 * 🌎 [Belkasoft Evidence Center](belkasoft.com/ec) - 该工具包通过分析硬盘、硬盘镜像、内存转储、iOS、Blackberry 和 Android 备份、UFED、JTAG 和 chip-off 转储，快速从多种来源提取数字证据。 *    657⭐    146🍴 [CimSweep](https://github.com/PowerShellMafia/CimSweep)) - 基于 CIM/WMI 的工具套件，能够在所有版本的 Windows 上远程执行事件响应和搜寻操作。 *    150⭐     22🍴 [CIRTkit](https://github.com/byt3smith/CIRTKit)) - CIRTKit 不仅仅是一个工具集合，更是一个框架，旨在帮助统一事件响应和取证调查流程。 * [Cyber Triage](http://www.cybertriage.com) - Cyber Triage 收集和分析主机数据以确定其是否受到入侵。其评分系统和推荐引擎允许您快速关注重要工件。它可以从其收集工具、磁盘镜像和其他收集器（如 KAPE）导入数据。它可以在检查员的桌面上运行，也可以在服务器模式下运行。由 Sleuth Kit Labs 开发，该公司也是 Autopsy 的制造商。 *   1083⭐     80🍴 [Dissect](https://github.com/fox-it/dissect)) - Dissect 是一个数字取证和事件响应框架及工具集，允许您快速访问和分析来自各种磁盘和文件格式的取证工件，由 Fox-IT（NCC Group 的一部分）开发。 *    620⭐     87🍴 [Doorman](https://github.com/mwielgoszewski/doorman)) - osquery 机群管理器，允许远程管理节点检索的 osquery 配置。它利用 osquery 的 TLS 配置、记录器和分布式读/写端点，让管理员以最小的开销和侵入性在设备机群中获得可见性。 *      ?⭐      ?🍴 [Falcon Orchestrator](https://github.com/CrowdStrike/falcon-orchestrator)) - 可扩展的基于 Windows 的应用程序，提供工作流自动化、案例管理和安全响应功能。 *   8396⭐   1075🍴 [Flare](https://github.com/fireeye/flare-vm)) - 完全可定制的基于 Windows 的安全发行版，用于恶意软件分析、事件响应、渗透测试。 *   6104⭐    798🍴 [Fleetdm](https://github.com/fleetdm/fleet)) - 为安全专家量身定制的最先进主机监控平台。利用 Facebook 经过实战考验的 osquery 项目，Fleetdm 提供持续更新、功能和对重大问题的快速解答。 *   5044⭐    800🍴 [GRR Rapid Response](https://github.com/google/grr)) - 专注于远程实时取证的事件响应框架。它由安装在目标系统上的 Python 代理（客户端）和可以管理与代理通信的 Python 服务器基础设施组成。除了包含的 Python API 客户端外，    58⭐      8🍴 [PowerGRR](https://github.com/swisscom/PowerGRR)) 提供了在 Windows、Linux 和 macOS 上运行的 PowerShell API 客户端库，用于 GRR 自动化和脚本编写。 *   1429⭐    285🍴 [IRIS](https://github.com/dfir-iris/iris-web)) - IRIS 是一个供事件响应分析师使用的 Web 协作平台，允许在技术层面共享调查。 *    873⭐    120🍴 [Kuiper](https://github.com/DFIRKuiper/Kuiper)) - 数字取证调查平台 * 🌎 [Limacharlie](www.limacharlie.io/) - 端点安全平台，由一系列协同工作的小项目组成，为您提供一个跨平台（Windows、OSX、Linux、Android 和 iOS）的低级环境，用于管理和将额外模块推送到内存中以扩展其功能。 *   1658⭐    122🍴 [Matano](https://github.com/matanolabs/matano): AWS 上的开源无服务器安全数据湖平台，让您将 PB 级安全数据摄取、存储和分析到 Apache Iceberg 数据湖中，并作为代码运行实时 Python 检测。 *   2170⭐    326🍴 [MozDef](https://github.com/mozilla/MozDef)) - 自动化安全事件处理流程，并促进事件处理人员的实时活动。 *     50⭐      7🍴 [MutableSecurity](https://github.com/MutableSecurity/mutablesecurity)) - 用于自动化网络安全解决方案的设置、配置和使用的 CLI 程序。 *    612⭐    124🍴 [nightHawk](https://github.com/biggiesmallsAG/nightHawkResponse)) - 为异步取证数据展示而构建的应用程序，使用 ElasticSearch 作为后端。它专为摄取 Redline 集合而设计。 * [Open Computer Forensics Architecture](http://sourceforge.net/projects/ocfa/) - 另一个流行的分布式开源计算机取证框架。该框架建立在 Linux 平台上，并使用 postgreSQL 数据库存储数据。 * 🌎 [osquery](osquery.io/) - 使用类似 SQL 的查询语言轻松询问有关您的 Linux 和 macOS 基础设施的问题；提供的 *incident-response pack* 可帮助您检测和响应违规行为。 * 🌎 [Redline](www.fireeye.com/services/freeware/redline.html) - 为用户提供主机调查能力，通过内存和文件分析以及威胁评估配置文件的开发来发现恶意活动的迹象。 *    415⭐     55🍴 [SOC Multi-tool](https://github.com/zdhenard42/SOC-Multitool)) - 强大且用户友好的浏览器扩展，可简化安全专业人员的调查工作。 * [The Sleuth Kit & Autopsy](http://www.sleuthkit.org) - 基于 Unix 和 Windows 的工具，有助于计算机的取证分析。它附带各种有助于数字取证的工具。这些工具有助于分析磁盘镜像、执行文件系统的深入分析以及各种其他事情。 * 🌎 [TheHive](thehive-project.org/) - 可扩展的三合一开源免费解决方案，旨在让 SOC、CSIRT、CERT 和任何处理需要迅速调查和采取行动的安全事件的信息安全从业者的工作更轻松。 *   3791⭐    597🍴 [Velociraptor](https://github.com/Velocidex/velociraptor)) - 端点可见性和收集工具 * [X-Ways Forensics](http://www.x-ways.net/forensics/) - 用于磁盘克隆和镜像的取证工具。它可用于查找已删除文件和磁盘分析。 *    843⭐     90🍴 [Zentral](https://github.com/zentralopensource/zentral)) - 将 osquery 强大的端点清单功能与灵活的通知和操作框架相结合。这使人们能够识别并响应 OS X 和 Linux 客户端上的更改。 ### 书籍 * 🌎 [Applied Incident Response](www.amazon.com/Applied-Incident-Response-Steve-Anson/dp/1119560268/) - Steve Anson 关于事件响应的书。 * 🌎 [ of Memory Forensics](www.amazon.com/Art-Memory-Forensics-Detecting-Malware/dp/1118825098/) - 检测 Windows、Linux 和 Mac 内存中的恶意软件和威胁。 * 🌎 [Crafting the InfoSec Playbook: Security Monitoring and Incident Response Master Plan](www.amazon.com/Crafting-InfoSec-Playbook-Security-Monitoring/dp/1491949406) - 作者 Jeff Bollinger, Brandon Enright 和 Matthew Valites。 * 🌎 [Digital Forensics and Incident Response: Incident response techniques and procedures to respond to modern cyber threats](www.amazon.com/Digital-Forensics-Incident-Response-techniques/dp/183864900X) - 作者 Gerard Johansen。 * 🌎 [Introduction to DFIR](medium.com/@sroberts/introduction-to-dfir-d35d5de4c180/) - 作者 Scott J. Roberts。 * 🌎 [Incident Response & Computer Forensics, Third Edition](www.amazon.com/Incident-Response-Computer-Forensics-Third/dp/0071798684/) - 事件响应的权威指南。 * 🌎 [Incident Response Techniques for Ransomware Attacks](www.amazon.com/Incident-Response-Techniques-Ransomware-Attacks/dp/180324044X) - 针对勒索软件攻击构建事件响应策略的绝佳指南。作者 Oleg Skulkin。 * 🌎 [Incident Response with Threat Intelligence](www.amazon.com/Incident-response-Threat-Intelligence-intelligence-based/dp/1801072957) - 构建基于威胁情报的事件响应计划的绝佳参考。作者 Roberto Martinez。 * 🌎 [Intelligence-Driven Incident Response](www.amazon.com/Intelligence-Driven-Incident-Response-Outwitting-Adversary-ebook-dp-B074ZRN5T7/dp/B074ZRN5T7) - 作者 Scott J. Roberts, Rebekah Brown。 * 🌎 [Operator Handbook: Red Team + OSINT + Blue Team Reference](www.amazon.com/Operator-Handbook-Team-OSINT-Reference/dp/B085RR67H5/) - 事件响应者的绝佳参考。 * 🌎 [Practical Memory Forensics](www.amazon.com/Practical-Memory-Forensics-Jumpstart-effective/dp/1801070334) - 实践内存取证的权威指南。作者 Svetlana Ostrovskaya 和 Oleg Skulkin。 * [The Practice of Network Security Monitoring: Understanding Incident Detection and Response](http://www.amazon.com/gp/product/1593275099) - Richard Bejtlich 关于 IR 的书。 ### 社区 * 🌎 [Digital Forensics Discord Server](discordapp.com/invite/JUqe9Ek) - 拥有 8,000 多名来自执法部门、私营部门和取证供应商的工作专业人士的社区。此外，还有很多学生和爱好者！指南 🌎 [here](aboutdfir.com/a-beginners-guide-to-the-digital-forensics-discord-server/)。 * 🌎 [Slack DFIR channel](dfircommunity.slack.com) - Slack DFIR 社区频道 - 🌎 [Signup here](start.paloaltonetworks.com/join-our-slack-community)。 ### 磁盘镜像创建工具 * [AccessData FTK Imager](http://accessdata.com/product-download/?/support/adownloads#FTKImager) - 取证工具，其主要目的是预览任何类型磁盘中的可恢复数据。FTK Imager 还可以在 32 位和 64 位系统上获取活动内存和页面文件。 *    475⭐    111🍴 [Bitscout](https://github.com/vitaly-kamluk/bitscout)) - Vitaly Kamluk 开发的 Bitscout 帮助您构建完全可信的可定制 LiveCD/LiveUSB 镜像，用于远程数字取证（或者您选择的任何其他任务）。它旨在对系统所有者透明且可监控，符合取证要求，可定制且紧凑。 * [GetData Forensic Imager](http://www.forensicimager.com/) - 基于 Windows 的程序，将以以下常见取证文件格式之一获取、转换或验证取证镜像。 * [Guymager](http://guymager.sourceforge.net) - 用于 Linux 上媒体获取的免费取证镜像工具。 * 🌎 [Magnet ACQUIRE](www.magnetforensics.com/magnet-acquire/) - Magnet Forensics 的 ACQUIRE 允许在 Windows、Linux 和 OS X 以及移动操作系统上执行各种类型的磁盘获取。 ### 证据收集 *    117⭐     38🍴 [Acquire](https://github.com/fox-it/acquire)) - Acquire 是一种工具，用于从磁盘镜像或实时系统快速收集取证工件到轻量级容器中。这使 Acquire 成为加速数字取证分类过程的绝佳工具，除此之外还有其他用途。如果可能，它使用   1083⭐     80🍴 [Dissect](https://github.com/fox-it/dissect)) 从原始磁盘收集该信息。 *    306⭐     25🍴 [artifactcollector](https://github.com/forensicanalysis/artifactcollector)) - artifactcollector 项目提供了一个在系统上收集取证工件的软件。 *   1337⭐    215🍴 [bulk_extractor](https://github.com/simsong/bulk_extractor)) - 计算机取证工具，用于扫描磁盘镜像、文件或文件目录并提取有用信息，而无需解析文件系统或文件系统结构。由于忽略了文件系统结构，该程序在速度和彻底性方面表现突出。 *    343⭐     51🍴 [Cold Disk Quick Response](https://github.com/rough007/CDQR)) - 简化的解析器列表，用于快速分析取证镜像文件（`dd`、E01、`.vmdk` 等）并输出九个报告。 *    711⭐     95🍴 [CyLR](https://github.com/orlikoski/CyLR)) - CyLR 工具快速、安全地从具有 NTFS 文件系统的主机收集取证工件，并最大限度地减少对主机的影响。 *   1209⭐    221🍴 [Forensic Artifacts](https://github.com/ForensicArtifacts/artifacts)) - 数字取证工件库 *    488⭐     95🍴 [ir-rescue](https://github.com/diogo-fernan/ir-rescue)) - Windows 批处理脚本和 Unix Bash 脚本，用于在事件响应期间全面收集主机取证数据。 * 🌎 [Live Response Collection](www.brimorlabs.com/tools/) - 自动化工具，从 Windows、OSX 和 *nix 操作系统收集易失性数据。 *    253⭐     48🍴 [Margarita Shotgun](https://github.com/ThreatResponse/margaritashotgun)) - 命令行实用程序（可与 Amazon EC2 实例一起使用，也可不使用），用于并行化远程内存获取。 *     44⭐      5🍴 [SPECTR3](https://github.com/alpine-sec/SPECTR3)) - 通过便携式 iSCSI 只读访问获取、分类和调查远程证据 *   1249⭐    181🍴 [UAC](https://github.com/tclahr/uac)) - UAC (Unix-like Artifacts Collector) 是一个用于事件响应的实时响应收集脚本，它利用原生二进制文件和工具自动收集 AIX、Android、ESXi、FreeBSD、Linux、macOS、NetBSD、NetScaler、OpenBSD 和 Solaris 系统工件。 ### 事件管理 *    517⭐     69🍴 [Catalyst](https://github.com/SecurityBrewery/catalyst)) - 一个免费的 SOAR 系统，可帮助自动化警报处理和事件响应流程。 * 🌎 [CyberCPR](www.cybercpr.com) - 社区和商业事件管理工具，内置 Need-to-Know 功能，以支持在处理敏感事件时符合 GDPR 合规性。 * 🌎 [Cyphon](medevel.com/cyphon/) - Cyphon 通过单一平台简化大量相关任务，从而消除事件管理的麻烦。它接收、处理和分类事件，为您的分析工作流程提供全面的解决方案——聚合数据、捆绑和优先处理警报，并授权分析师调查和记录事件。 * 🌎 [CORTEX XSOAR](www.paloaltonetworks.com/cortex/xsoar) - Paloalto 安全编排、自动化和响应平台，具有完整的事件生命周期管理和许多集成以增强自动化。 *    343⭐     76🍴 [DFTimewolf](https://github.com/log2timeline/dftimewolf)) - 用于编排取证收集、处理和数据导出的框架。 *    533⭐     88🍴 [DFIRTrack](https://github.com/dfirtrack/dfirtrack)) - 事件响应跟踪应用程序，通过案例和任务处理一个或多个事件，涉及大量受影响的系统和工件。 *      ?⭐      ?🍴 [Fast Incident Response (FIR)](https://github.com/certsocietegenerale/FIR/)) - 以敏捷性和速度为设计理念的网络安全事件管理平台。它允许轻松创建、跟踪和报告网络安全事件，对 CSIRT、CERT 和 SOC 都很有用。 * 🌎 [RTIR](www.bestpractical.com/rtir/) - 事件响应请求跟踪器 (RTIR) 是专为计算机安全团队打造的首屈一指的开源事件处理系统。我们与全球十几个 CERT 和 CSIRT 团队合作，帮助您处理不断增加的事件报告。RTIR 构建于 Request Tracker 的所有功能之上。 *    253⭐     44🍴 [Sandia Cyber Omni Tracker (SCOT)](https://github.com/sandialabs/scot)) - 专注于灵活性和易用性的事件响应协作和知识捕获工具。我们的目标是为事件响应流程增加价值，而不会给用户带来负担。 *   2208⭐    393🍴 [Shuffle](https://github.com/frikky/Shuffle)) - 专注于可访问性的通用安全自动化平台。 *    433⭐     93🍴 [threat_note](https://github.com/defpoint/threat_note)) - 轻量级调查笔记本，允许安全研究人员注册和检索与其研究相关的指标。 * 🌎 [Zenduty](www.zenduty.com) - Zenduty 是一个新颖的事件管理平台，提供端到端的事件警报、待命管理和响应编排，使团队对事件管理生命周期拥有更大的控制权和自动化。 ### 知识库 *     89⭐     16🍴 [Digital Forensics Artifact Knowledge Base](https://github.com/ForensicArtifacts/artifacts-kb)) - 数字取证工件知识库 *   2517⭐    432🍴 [Windows Events Attack Samples](https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES)) - Windows 事件攻击样本 *    195⭐     23🍴 [Windows Registry Knowledge Base](https://github.com/libyal/winreg-kb)) - Windows 注册表知识库 ### Linux 发行版 * 🌎 [The Appliance for Digital Investigation and Analysis (ADIA)](forensics.cert.org/#ADIA) - 基于 VMware 的设备，用于数字调查和获取，完全由公共域软件构建。ADIA 中包含的工具包括 Autopsy、the Sleuth Kit、the Digital Forensics Framework、log2timeline、Xplico 和 Wireshark。大多数系统维护使用 Webmin。它专为中小型数字调查和获取而设计。该设备可在 Linux、Windows 和 Mac OS 下运行。提供 i386（32 位）和 x86_64（64 位）版本。 * [Computer Aided Investigative Environment (CAINE)](http://www.caine-live.net/index.html) - 包含许多工具，可帮助调查人员在分析过程中，包括取证证据收集。 *    505⭐     75🍴 [CCF-VM](https://github.com/rough007/CCF-VM)) - CyLR CDQR Forensics Virtual Machine (CCF-VM)：解析收集数据的一体化解决方案，通过内置的常见搜索使其易于搜索，支持同时搜索单个和多个主机。 * 🌎 [NST - Network Security Toolkit](sourceforge.net/projects/nst/files/latest/download?source=files) - Linux 发行版，包含大量最佳开源网络安全应用程序，对网络安全专业人员有用。 * 🌎 [PALADIN](sumuri.com/software/paladin/) - 修改后的 Linux 发行版，以符合取证要求的方式执行各种取证任务。它附带许多开源取证工具。 *    520🍴 [Security Onion](https://github.com/Security-Onion-Solutions/security-onion)) - 专注于网络安全监控的专用 Linux 发行版，具有高级分析工具。 * [SANS Investigative Forensic Toolkit (SIFT) Workstation](http://digital-forensics.sans.org/community/downloads) - 证明可以使用免费提供且经常更新的尖端开源工具完成对入侵的高级事件响应能力和深度数字取证技术。 ### Linux 证据收集 *    176⭐     45🍴 [FastIR Collector Linux](https://github.com/SekoiaLab/Fastir_Collector_Linux)) - FastIR for Linux 收集实时 Linux 上的不同工件，并将结果记录在 CSV 文件中。 *    220⭐     23🍴 [MAGNET DumpIt](https://github.com/MagnetForensics/dumpit-linux)) - 用 Rust 编写的 Linux 快速内存获取开源工具。生成 Linux 机器的完整内存崩溃转储。 ### 日志分析工具 *    209⭐     26🍴 [AppCompatProcessor](https://github.com/mbevilacqua/appcompatprocessor)) - AppCompatProcessor 旨在从企业范围的 AppCompat / AmCache 数据中提取额外价值，超越经典的堆叠和 grepping 技术。 *   1402⭐    252🍴 [APT Hunter](https://github.com/ahmedkhlief/APT-Hunter)) - APT-Hunter 是用于 Windows 事件日志的威胁搜寻工具。 *   3460⭐    296🍴 [Chainsaw](https://github.com/countercept/chainsaw)) - Chainsaw 提供强大的“首次响应”能力，可快速识别 Windows 事件日志中的威胁。 * 🌎 [Event Log Explorer](eventlogxp.com/) - 开发的用于快速分析日志文件和其他数据的工具。 * 🌎 [Event Log Observer](lizard-labs.com/event_log_observer.aspx) - 使用此 GUI 工具查看、分析和监控记录在 Microsoft Windows 事件日志中的事件。 *   3049⭐    259🍴 [Hayabusa](https://github.com/Yamato-Security/hayabusa)) - Hayabusa 是由日本 Yamato Security group 创建的 Windows 事件日志快速取证时间线生成器和威胁搜寻工具。 * 🌎 [Kaspersky CyberTrace](support.kaspersky.com/13850) - 威胁情报融合和分析工具，将威胁数据源与 SIEM 解决方案集成。用户可以在现有安全操作的工作流程中立即利用威胁情报进行安全监控和事件报告 (IR) 活动。 * 🌎 [Log Parser Lizard](lizard-labs.com/log_parser_lizard.aspx) - 对结构化日志数据执行 SQL 查询：服务器日志、Windows 事件、文件系统、Active Directory、log4net 日志、逗号/制表符分隔的文本、XML 或 JSON 文件。还为 Microsoft LogParser 2.2 提供具有强大 UI 元素的 GUI：语法编辑器、数据网格、图表、数据透视表、仪表板、查询管理器等。 *    213⭐     47🍴 [Lorg](https://github.com/jensvoid/lorg)) - 用于高级 HTTPD 日志文件安全分析和取证的工具。 *    159⭐     23🍴 [Logdissect](https://github.com/dogoncouch/logdissect)) - 用于分析日志文件和其他数据的 CLI 实用程序和 Python API。 *   3136⭐    486🍴 [LogonTracer](https://github.com/JPCERTCC/LogonTracer)) - 通过可视化和分析 Windows 事件日志来调查恶意 Windows 登录的工具。 *  10158⭐   2557🍴 [Sigma](https://github.com/SigmaHQ/sigma)) - 用于 SIEM 系统的通用签名格式，已包含广泛的规则集。 *   2887⭐    326🍴 [StreamAlert](https://github.com/airbnb/streamalert)) - 无服务器、实时日志数据分析框架，能够摄取自定义数据源并使用用户定义的逻辑触发警报。 *    431⭐     58🍴 [SysmonSearch](https://github.com/JPCERTCC/SysmonSearch)) - SysmonSearch 通过聚合事件日志，使 Windows 事件日志分析更有效且更省时。 *     91⭐      5🍴 [WELA](https://github.com/Yamato-Security/WELA)) - Windows 事件日志分析器旨在成为 Windows 事件日志的瑞士军刀。 *    786⭐    111🍴 [Zircolite](https://github.com/wagga40/Zircolite)) - 用于 EVTX 或 JSON 的独立且快速的基于 SIGMA 的检测工具。 ### 内存分析工具 *   1056⭐     88🍴 [AVML](https://github.com/microsoft/avml)) - 适用于 Linux 的便携式易失性内存获取工具。 *    260⭐     37🍴 [Evolve](https://github.com/JamesHabben/evolve)) - Volatility 内存取证框架的 Web 界面。 *    294⭐     52🍴 [inVtero.net](https://github.com/ShaneK2/inVtero.net)) - 具有嵌套虚拟机监控程序支持的 Windows x64 高级内存分析。 *   1942⭐    365🍴 [LiME](https://github.com/504ensicsLabs/LiME)) - 可加载内核模块 (LKM)，允许从 Linux 和基于 Linux 的设备获取易失性内存，以前称为 DMD。 *    495⭐     70🍴 [MalConfScan](https://github.com/JPCERTCC/MalConfScan)) - MalConfScan 是一个 Volatility 插件，用于提取已知恶意软件的配置数据。Volatility 是一个用于事件响应和恶意软件分析的开源内存取证框架。该工具在内存镜像中搜索恶意软件并转储配置数据。此外，该工具具有列出恶意代码引用的字符串的功能。 * 🌎 [Memoryze](www.fireeye.com/services/freeware/memoryze.html) - 免费的内存取证软件，可帮助事件响应者在活动内存中发现恶意内容。Memoryze 可以获取和/或分析内存镜像，并且在活动系统上，可以在其分析中包含页面文件。 * 🌎 [Memoryze for Mac](www.fireeye.com/services/freeware/memoryze.html) - Memoryze for Mac 是适用于 Mac 的 Memoryze。但是，功能较少。 * [MemProcFS] (https://github.com/ufrisk/MemProcFS) - MemProcFS 是一种将物理内存作为虚拟文件系统中的文件查看的简单便捷方法。 *    265⭐     26🍴 [Orochi](https://github.com/LDO-CERT/orochi)) - Orochi 是一个用于协作取证内存转储分析的开源框架。 * [Rekall](http://www.rekall-forensic.com/) - 开源工具（和库），用于从易失性内存 (RAM) 样本中提取数字工件。 *   7972⭐   1342🍴 [Volatility](https://github.com/volatilityfoundation/volatility)) - 高级内存取证框架。 *   3952⭐    633🍴 [Volatility 3](https://github.com/volatilityfoundation/volatility3)) - 易失性内存提取框架（Volatility 的继任者） *    270⭐     51🍴 [VolatilityBot](https://github.com/mkorman90/VolatilityBot)) - 面向研究人员的自动化工具，减少了二进制提取阶段的所有猜测和手动任务，或者帮助调查人员进行内存分析调查的第一步。 *    197⭐     45🍴 [VolDiff](https://github.com/aim4r/VolDiff)) - 基于 Volatility 的恶意软件内存足迹分析。 * [WindowsSCOPE](http://www.windowsscope.com/windowsscope-cyber-forensics/) - 内存取证和逆向工程工具，用于分析易失性内存，提供分析 Windows 内核、驱动程序、DLL 以及虚拟和物理内存的能力。 ### 内存镜像工具 * [Belkasoft Live RAM Capturer](http://belkasoft.com/ram-capturer) - 小巧的免费取证工具，可可靠地提取计算机易失性内存的全部内容——即使受到活动反调试或反转储系统的保护。 *      ?⭐      ?🍴 [Linux Memory Grabber](https://github.com/halpomeranz/lmg/)) - 用于转储 Linux 内存和创建 Volatility 配置文件的脚本。 * 🌎 [MAGNET DumpIt](www.magnetforensics.com/resources/magnet-dumpit-for-windows) - 适用于 Windows（x86、x64、ARM64）的快速内存获取工具。生成 Windows 机器的完整内存崩溃转储。 * 🌎 [Magnet RAM Capture](www.magnetforensics.com/free-tool-magnet-ram-capture/) - 旨在捕获嫌疑人计算机物理内存的免费镜像工具。支持最新版本的 Windows。 * [OSForensics](http://www.osforensics.com/) - 在 32 位和 64 位系统上获取活动内存的工具。可以转储单个进程的内存空间或物理内存转储。 ### OSX 证据收集 * 🌎 [Knockknock](objective-see.com/products/knockknock.html) - 显示设置为在 OSX 上自动执行的持久项（脚本、命令、二进制文件等）。 *   1003⭐    122🍴 [macOS Artifact Parsing Tool (mac_apt)](https://github.com/ydkhatri/mac_apt)) - 基于插件的取证框架，用于快速 mac 分类，适用于实时机器、磁盘镜像或单个工件文件。 *   3134⭐    275🍴 [OSX Auditor](https://github.com/jipegit/OSXAuditor)) - 免费 Mac OS X 计算机取证工具。 *   1892⭐    243🍴 [OSX Collector](https://github.com/yelp/osxcollector)) - OSX Auditor 的实时响应分支。 * 🌎 [The ESF Playground](themittenmac.com/the-esf-playground/) - 实时查看 Apple Endpoint Security Framework (ESF) 中事件的工具。 ### 其他列表 *    644⭐     92🍴 [Awesome Event IDs](https://github.com/stuhli/awesome-event-ids)) - 对数字取证和事件响应有用的 Event ID 资源集合。 *   4932⭐    715🍴 [Awesome Forensics](https://github.com/cugu/awesome-forensics)) - 精选的出色取证分析工具和资源列表。 *   2419⭐    585🍴 [Didier Stevens Suite](https://github.com/DidierStevens/DidierStevensSuite)) - 工具集合 * 🌎 [Eric Zimmerman Tools](ericzimmerman.github.io/) - SANS 研究所讲师 Eric Zimmerman 创建的取证工具更新列表。 *   nbsp;968⭐    151🍴 [List of various Security APIs](https://github.com/deralexxx/security-apis)) - 用于安全的公共 JSON API 集合列表。 ### 其他工具 * 🌎 [Cortex](thehive-project.org) - Cortex 允许您使用 Web 界面逐个或批量分析 IP 和电子邮件地址、URL、域名、文件或哈希等可观察对象。分析师还可以使用其 REST API 自动化这些操作。 * 🌎 [Crits](crits.github.io/) - 将分析引擎与网络威胁数据库相结合的基于 Web 的工具。 *    631⭐     59🍴 [Diffy](https://github.com/Netflix-Skunkworks/diffy)) - Netflix SIRT 开发的 DFIR 工具，允许调查人员在事件期间快速确定跨云实例（目前为 AWS 上的 Linux 实例）的入侵范围，并通过显示与基线的差异有效地分类这些实例以进行后续操作。 *     25⭐      3🍴 [domfind](https://github.com/diogo-fernan/domfind)) - Python DNS 爬虫，用于查找不同 TLD 下的相同域名。 *    123⭐     24🍴 [Fileintel](https://github.com/keithjjones/fileintel)) - 按文件哈希提取情报。 *   3911⭐    695🍴 [HELK](https://github.com/Cyb3rWard0g/HELK)) - 威胁搜寻平台。 *   1388⭐    174🍴 [Hindsight](https://github.com/obsidianforensics/hindsight)) - Google Chrome/Chromium 的互联网历史记录取证。 *    274⭐     53🍴 [Hostintel](https://github.com/keithjjones/hostintel)) - 按主机提取情报。 *    127⭐     37🍴 [imagemounter](https://github.com/ralphje/imagemounter)) - 命令行实用程序和 Python 包，用于简化取证磁盘镜像的（卸载）挂载。 *      ?⭐      ?🍴 [Kansa](https://github.com/davehull/Kansa/)) - PowerShell 中的模块化事件响应框架。 *    325⭐     34🍴 [MFT Browser](https://github.com/kacos2000/MFT_Browser)) - MFT 目录树重建和记录信息。 *    846⭐    151🍴 [Munin](https://github.com/Neo23x0/munin)) - VirusTotal 和其他服务的在线哈希检查器。 *     40⭐      7🍴 [PowerSponse](https://github.com/swisscom/PowerSponse)) - PowerSponse 是一个专注于安全事件响应期间目标遏制和修复的 PowerShell 模块。 *     27⭐      4🍴 [PyaraScanner](https://github.com/nogoodconfig/pyarascanner)) - 非常简单的多线程多规则对多文件 YARA 扫描 Python 脚本，用于恶意软件库和 IR。 *    240⭐     52🍴 [rastrea2r](https://github.com/rastrea2r/rastrea2r)) - 允许在 Windows、Linux 和 OS X 上使用 YARA 扫描磁盘和内存以查找 IOC。 * 🌎 [RaQet](raqet.github.io/) - 非常规的远程获取和分类工具，允许对使用专门构建的取证操作系统重新启动的远程计算机（客户端）的磁盘进行分类。 *    974⭐    126🍴 [Raccine](https://github.com/Neo23x0/Raccine)) - 简单的勒索软件防护 * 🌎 [Stalk](www.percona.com/doc/percona-toolkit/2.2/pt-stalk.html) - 在发生问题时收集有关 MySQL 的取证数据。 * 🌎 [Scout2](nccgroup.github.io/Scout2/) - 安全工具，让 Amazon Web Services 管理员评估其环境的安全态势。 *   1801⭐    233🍴 [Stenographer](https://github.com/google/stenographer)) - 数据包捕获解决方案，旨在将所有数据包快速缓冲到磁盘，然后提供对这些数据包子集的简单、快速访问。它存储尽可能多的历史记录，管理磁盘使用情况，并在达到磁盘限制时删除。它非常适合在事件发生之前和期间捕获流量，而无需明确存储所有网络流量。 *      ?⭐      ?🍴 [sqhunter](https://github.com/0x4d31/sqhunter)) - 基于 osquery 和 Salt Open (SaltStack) 的威胁搜寻器，可以发布临时或分布式查询，而无需 osquery 的 tls 插件。sqhunter 允许您查询开放的网络套接字并根据威胁情报源进行检查。 *   5412⭐   1837🍴 [sysmon-config](https://github.com/SwiftOnSecurity/sysmon-config)) - 具有默认高质量事件跟踪的 Sysmon 配置文件模板 *   2987⭐    642🍴 [sysmon-modular](https://github.com/olafhartong/sysmon-modular)) - sysmon 配置模块的存储库 *     40⭐      9🍴 [traceroute-circl](https://github.com/CIRCL/traceroute-circl)) - 扩展的 traceroute，用于支持 CSIRT（或 CERT）操作员的活动。通常，CSIRT 团队必须根据收到的 IP 地址处理事件。由卢森堡计算机应急响应中心创建。 * 🌎 [X-Ray 2.0](www.raymond.cc/blog/xray/) - Windows 实用程序（维护不善或不再维护），用于向 AV 供应商提交病毒样本。 ### 行动手册 *   1050⭐    223🍴 [AWS Incident Response Runbook Samples](https://github.com/aws-samples/aws-incident-response-runbooks/tree/0d9a1c0f7ad68fb2c1b2d86be8914f2069492e21)) - AWS IR Runbook 示例，旨在由每个使用它们的实体进行自定义。这三个示例是：“DoS 或 DDoS 攻击”、“凭证泄露”和“对 Amazon S3 存储桶的意外访问”。 *    759⭐    243🍴 [Counteractive Playbooks](https://github.com/counteractive/incident-response-plan-template/tree/master/playbooks)) - Counteractive 行动手册集合。 *    424⭐     84🍴 [GuardSIght Playbook Battle Cards](https://github.com/guardsight/gsvsoc_cirt-playbook-battle-cards)) - 网络事件响应行动手册战斗卡集合 *   1105⭐    185🍴 [IRM](https://github.com/certsocietegenerale/IRM)) - CERT Societe Generale 的事件响应方法。 * 🌎 [PagerDuty Incident Response Documentation](response.pagerduty.com/) - 描述 PagerDuty 事件响应流程部分的文档。它不仅提供有关准备事件的信息，还提供期间和之后做什么的信息。源代码可在   1034⭐    223🍴 [GitHub](https://github.com/PagerDuty/incident-response-docs)）上找到。 *    530⭐    217🍴 [Phantom Community Playbooks](https://github.com/phantomcyber/playbooks)) - Splunk 的 Phantom 社区行动手册，但也可定制用于其他用途。 *   4490⭐    852🍴 [ThreatHunter-Playbook](https://github.com/OTRF/ThreatHunter-Playbook)) - 帮助开发狩猎活动技术和假设的行动手册。 ### 进程转储工具 * 🌎 [Microsoft ProcDump](docs.microsoft.com/en-us/sysinternals/downloads/procdump) - 即时转储任何正在运行的 Win32 进程内存镜像。 * [PMDump](http://www.ntsecurity.nu/toolbox/pmdump/) - 允许您将进程的内存内容转储到文件而无需停止进程的工具。 ### 沙箱/逆向工具 * 🌎 [Any Run](app.any.run/) - 交互式在线恶意软件分析服务，用于使用任何环境对大多数类型的威胁进行动态和静态研究。 *   5855⭐    666🍴 [CAPA](https://github.com/mandiant/capa)) - 检测可执行文件中的功能。您针对 PE、ELF、.NET 模块或 shellcode 文件运行它，它会告诉您它认为该程序可以做什么。 *   3045⭐    538🍴 [CAPEv2](https://github.com/kevoreilly/CAPEv2)) - 恶意软件配置和有效载荷提取。 *   5921⭐   1725🍴 [Cuckoo](https://github.com/cuckoosandbox/cuckoo)) - 开源高度可配置的沙箱工具。 *    406⭐    177🍴 [Cuckoo-modified](https://github.com/spender-sandbox/cuckoo-modified)) - 由社区开发的经过大量修改的 Cuckoo 分支。 *     23⭐      8🍴 [Cuckoo-modified-api](https://github.com/keithjjones/cuckoo-modified-api)) - 用于控制 cuckoo-modified 沙箱的 Python 库。 *  18445⭐   1328🍴 [Cutter](https://github.com/rizinorg/cutter)) - 由 rizin 驱动的免费开源逆向工程平台。 *  65303⭐   7203🍴 [Ghidra](https://github.com/NationalSecurityAgency/ghidra)) - 软件逆向工程框架。 * 🌎 [Hybrid-Analysis](www.hybrid-analysis.com/) - CrowdStrike 提供的免费强大的在线沙箱。 * 🌎 [Intezer](analyze.intezer.com/#/) - Intezer Analyze 深入研究 Windows 二进制文件，以检测微代码与已知威胁的相似性，从而提供准确且易于理解的结果。 * 🌎 [Joe Sandbox (Community)](www.joesandbox.com/) - Joe Sandbox 检测并分析 Windows、Android、Mac OS、Linux 和 iOS 上潜在的恶意文件和 URL 的可疑活动；提供全面详细的分析报告。 *    185⭐     42🍴 [Mastiff](https://github.com/KoreLogicSecurity/mastiff)) - 静态分析框架，可自动从多种不同文件格式中提取关键特征的过程。 * 🌎 [Metadefender Cloud](www.metadefender.com) - 免费的威胁情报平台，提供文件的多重扫描、数据和漏洞评估。 *  23192⭐   3170🍴 [Radare2](https://github.com/radareorg/radare2)) - 逆向工程框架和命令行工具集。 * 🌎 [Reverse.IT](www.reverse.it/) - CrowdStrike 提供的 Hybrid-Analysis 工具的替代域。 *   3425⭐    514🍴 [Rizin](https://github.com/rizinorg/rizin)) - 类 UNIX 逆向工程框架和命令行工具集 *    753⭐    128🍴 [StringSifter](https://github.com/fireeye/stringsifter)) - 一种机器学习工具，根据字符串与恶意软件分析的相关性对其进行排名。 * 🌎 [Threat.Zone](app.threat.zone) - 基于云的威胁分析平台，包括沙箱、CDR 和供研究人员使用的交互式分析。 * 🌎 [Valkyrie Comodo](valkyrie.comodo.com) - Valkyrie 使用运行时行为和文件中的数百个特征来执行分析。 *   1557⭐    346🍴 [Viper](https://github.com/viper-framework/viper)) - 基于 Python 的二进制分析和管理框架，与 Cuckoo 和 YARA 配合良好。 * 🌎 [Virustotal](www.virustotal.com) - 免费的在线服务，用于分析文件和 URL，从而识别防病毒引擎和网站扫描程序检测到的病毒、蠕虫、特洛伊木马和其他类型的恶意内容。 *    144⭐     31🍴 [Visualize_Logs](https://github.com/keithjjones/visualize_logs)) - 用于日志（Cuckoo、Procmon 等）的开源可视化库和命令行工具。 * 🌎 [Yomi](yomi.yoroi.company) - 由 Yoroi 管理和托管的免费 MultiSandbox。 ### 扫描工具 *    772⭐    114🍴 [Fenrir](https://github.com/Neo23x0/Fenrir)) - 简单的 IOC 扫描程序。它允许在纯 bash 中扫描任何 Linux/Unix/OSX 系统以查找 IOC。由 THOR 和 LOKI 的创建者创建。 *   3729⭐    625🍴 [LOKI](https://github.com/Neo23x0/Loki)) - 免费的 IR 扫描程序，用于使用 yara 规则和其他指标 (IOC) 扫描端点。 *    176⭐     31🍴 [Spyre](https://github.com/spyre-project/spyre)) - 用 Go 编写的简单的基于 YARA 的 IOC 扫描程序 ### 时间线工具 *   1060⭐    127🍴 [Aurora Incident Response](https://github.com/cyb3rfox/Aurora-Incident-Response)) - 开发的平台，用于轻松构建事件的详细时间线。 * 🌎 [Highlighter](www.fireeye.com/services/freeware/highlighter.html) - Fire/Mandiant 提供的免费工具，可描绘日志/文本文件，并突出显示图形上与关键字或短语对应的区域。适合对感染及入侵后执行的操作进行时间线分析。 *   1023⭐    128🍴 [Morgue](https://github.com/etsy/morgue)) - Etsy 开发的用于管理事后分析的 PHP Web 应用程序。 *   2023⭐    411🍴 [Plaso](https://github.com/log2timeline/plaso)) - 工具 log2timeline 的基于 Python 的后端引擎。 *   3274⭐    646🍴 [Timesketch](https://github.com/google/timesketch)) - 用于协作取证时间线分析的开源工具。 ### 视频 * 🌎 [The Future of Incident Response](www.youtube.com/watch?v=bDcx4UNpKNc) - Bruce Schneier 在 OWASP AppSecUSA 2015 上的演讲。 ### Windows 证据收集 *    190⭐     29🍴 [AChoir](https://github.com/OMENScan/AChoir)) - 用于标准化和简化 Windows 实时获取实用程序脚本过程的框架/脚本工具。 * [Crowd Response](http://www.crowdstrike.com/community-tools/) - 轻量级 Windows 控制台应用程序，旨在帮助收集系统信息以进行事件响应和安全约定。它具有许多模块和输出格式。 * [Cyber Triage](http://www.cybertriage.com) - Cyber Triage 有一个免费使用的轻量级收集工具。它收集源文件（如注册表配置单元和事件日志），但也解析实时主机上的这些文件，以便它还可以收集启动项、计划任务等引用的可执行文件。其输出是一个 JSON 文件，可以导入到 Cyber Triage 的免费版本中。Cyber Triage 由 Sleuth Kit Labs 制作，该公司也是 Autopsy 的制造商。 * 🌎 [DFIR ORC](dfir-orc.github.io/) - DFIR ORC 是一组专用工具，专门用于可靠地解析和收集关键工件，例如 MFT、注册表配置单元或事件日志。DFIR ORC 收集数据，但不分析数据：它不是用于对机器进行分类。它提供了运行 Microsoft Windows 的机器的取证相关快照。代码可以在    431⭐     50🍴 [GitHub](https://github.com/DFIR-ORC/dfir-orc)）上找到。 *    519⭐    130🍴 [FastIR Collector](https://github.com/SekoiaLab/Fastir_Collector)) - 在实时 Windows 系统上收集不同工件并将结果记录在 csv 文件中的工具。通过分析这些工件，可以检测到早期入侵。 *   2431⭐    203🍴 [Fibratus](https://github.com/rabbitstack/fibratus)) - 用于探索和跟踪 Windows 内核的工具。 *    209⭐     21🍴 [Hoarder](https://github.com/muteb/Hoarder)) - 收集取证或事件响应调查中最有价值的工件。 * 🌎 [IREC](binalyze.com/products/irec-free/) - 多合一 IR 证据收集器，可捕获 RAM 镜像、$MFT、EventLogs、WMI 脚本、注册表配置单元、系统还原点等。它是免费的，闪电般的快速且易于使用。 *    150⭐     30🍴 [Invoke-LiveResponse](https://github.com/mgreen27/Invoke-LiveResponse)) - Invoke-LiveResponse 是一个用于目标收集的实时响应工具。 * 🌎 [IOC Finder](www.fireeye.com/services/freeware/ioc-finder.html) - Mandiant 的免费工具，用于收集主机系统数据并报告入侵指标 (IOC) 的存在。仅支持 Windows。不再维护。仅在 Windows 7 / Windows Server 2008 R2 之前完全受支持。 *    137⭐     24🍴 [IRTriage](https://github.com/AJMartel/IRTriage)) - 事件响应分类 - 用于取证分析的 Windows 证据收集。 * 🌎 [KAPE](www.kroll.com/en/services/cyber-risk/incident-response-litigation-support/kroll-artifact-parser-extractor-kape) - Eric Zimmerman 的 Kroll 工件解析器和提取器 (KAPE)。一种分类工具，可查找最普遍的数字工件，然后快速解析它们。在时间紧迫时非常出色和彻底。 *   3729⭐    625🍴 [LOKI](https://github.com/Neo23x0/Loki)) - 免费的 IR 扫描程序，用于使用 yara 规则和其他指标 (IOC) 扫描端点。 *    480⭐     86🍴 [MEERKAT](https://github.com/TonyPhipps/Meerkat)) - 基于 PowerShell 的 Windows 分类和威胁搜寻。 *     41⭐      8🍴 [Panorama](https://github.com/AlmCo/Panorama)) - 实时 Windows 系统上的快速事件概述。 *   1427⭐    284🍴 [PowerForensics](https://github.com/Invoke-IR/PowerForensics)) - 使用 PowerShell 的实时磁盘取证平台。 *      ?⭐      ?🍴 [PSRecon](https://github.com/gfoss/PSRecon/)) - PSRecon 使用 PowerShell（v2 或更高版本）从远程 Windows 主机收集数据，将数据组织到文件夹中，对所有提取的数据进行哈希处理，对 PowerShell 和各种系统属性进行哈希处理，并将数据发送给安全团队。可以将数据推送到共享、通过电子邮件发送或本地保留。 *    685⭐    145🍴 [RegRipper](https://github.com/keydet89/RegRipper3.0)) - 用 Perl 编写的开源工具，用于从注册表中提取/解析信息（键、值、数据）并将其呈现以供分析。 ## 来源   8844⭐   1653🍴 [meirwah/awesome-incident-response](https://github.com/meirwah/awesome-incident-response))

标签：AMSI绕过, Burp Suite 替代, CIDR输入, DAST, ESC漏洞, HTTP工具, Mr. Robot, Ruby, SecList, TGT, 事件管理, 二进制发布, 内存取证, 内核模块, 取证工具, 后渗透, 威胁检测, 子域名变形, 安全资源, 安全运营, 工具列表, 库, 应急响应, 开源工具, 恶意软件分析, 扫描框架, 攻防演练, 数字取证, 无线安全, 沙箱, 知识库, 网络信息收集, 网络安全, 网络安全审计, 自动化脚本, 证据收集, 防御加固, 隐私保护