cugu/awesome-forensics

# 极佳的取证工具 [](https://github.com/cugu/awesome-forensics) 精选的极佳**免费**（主要为开源）取证分析工具和资源列表。 - 极佳的取证工具 - [集合](#collections) - [工具](#tools) - [发行版](#distributions) - [框架](#frameworks) - [实时取证](#live-forensics) - [IOC 扫描器](#ioc-scanner) - [数据获取](#acquisition) - [镜像](#imaging) - [数据雕刻](#carving) - [内存取证](#memory-forensics) - [网络取证](#network-forensics) - [Windows 痕迹](#windows-artifacts) - [NTFS/MFT 处理](#ntfsmft-processing) - [OS X 取证](#os-x-forensics) - [移动端取证](#mobile-forensics) - [Docker 取证](#docker-forensics) - [互联网痕迹](#internet-artifacts) - [时间线分析](#timeline-analysis) - [磁盘镜像处理](#disk-image-handling) - [解密](#decryption) - [管理](#management) - [图像分析](#picture-analysis) - [元数据取证](#metadata-forensics) - [隐写术](#steganography) - [学习取证](#learn-forensics) - [CTF 与挑战](#ctfs-and-challenges) - [资源](#resources) - [网站](#web) - [博客](#blogs) - [书籍](#books) - [文件系统语料库](#file-system-corpora) - [其他](#other) - [实验室](#labs) - [相关精选列表](#related-awesome-lists) - [贡献](#contributing) ## 集合 - [AboutDFIR – The Definitive Compendium Project](https://aboutdfir.com) - 用于学习和研究的取证资源集合。提供认证、书籍、博客、挑战等列表 - :star: [ForensicArtifacts.com Artifact Repository](https://github.com/ForensicArtifacts/artifacts) - 机器可读的取证痕迹知识库 ## 工具 - [维基百科上的取证工具](https://en.wikipedia.org/wiki/List_of_digital_forensics_tools) - [Eric Zimmerman 的工具](https://ericzimmerman.github.io/#!index.md) ### 发行版 - [bitscout](https://github.com/vitaly-kamluk/bitscout) - 用于远程取证获取和分析的 LiveCD/LiveUSB - [Remnux](https://remnux.org/) - 用于逆向工程和分析恶意软件的发行版 - [SANS Investigative Forensics Toolkit (sift)](https://github.com/teamdfir/sift) - 用于取证分析的 Linux 发行版 - [Tsurugi Linux](https://tsurugi-linux.org/) - 用于取证分析的 Linux 发行版 - [WinFE](https://www.winfe.net/home) - Windows 取证环境 ### 框架 - [AIFT](https://github.com/FlipForensics/AIFT) - AIFT (AI Forensic Triage) 使用 Dissect 解析证据并生成 AI 辅助的取证报告。 - :star:[Autopsy](http://www.sleuthkit.org/autopsy/) - SleuthKit 的图形用户界面 - [dexter](https://github.com/coinbase/dexter) - Dexter 是一个旨在实现可扩展和安全的取证获取框架 - [dff](https://github.com/arxsys/dff) - 取证框架 - [Dissect](https://github.com/fox-it/dissect) - Dissect 是一个数字取证与事件响应框架及工具集，允许您快速访问和分析各种磁盘和文件格式中的取证痕迹，由 Fox-IT（NCC Group 的一部分）开发。 - [hashlookup-forensic-analyser](https://github.com/hashlookup/hashlookup-forensic-analyser) - 一种用于分析取证获取文件的工具，通过 [hashlookup](https://www.circl.lu/services/hashlookup/) API 或使用本地布隆过滤器查找已知/未知哈希。 - [IntelMQ](https://github.com/certtools/intelmq) - IntelMQ 收集和处理安全信息源 - [Kuiper](https://github.com/DFIRKuiper/Kuiper) - 数字调查平台 - [Laika BOSS](https://github.com/lmco/laikaboss) - Laika 是一个对象扫描器和入侵检测系统 - [OpenRelik](https://openrelik.org/) - 用于存储文件痕迹并运行工作流的取证平台 - [PowerForensics](https://github.com/Invoke-IR/PowerForensics) - PowerForensics 是一个用于实时磁盘取证分析的框架 - [TAPIR](https://github.com/tap-ir/tapir) - TAPIR (Trustable Artifacts Parser for Incident Response) 是一个多用户、客户端/服务器架构的事件响应框架 - :star: [The Sleuth Kit](https://github.com/sleuthkit/sleuthkit) - 用于底层取证分析的工具 - [turbinia](https://github.com/google/turbinia) - Turbinia 是一个开源框架，用于在云平台上部署、管理和运行取证工作负载 - [IPED - Indexador e Processador de Evidências Digitais](https://github.com/sepinf-inc/IPED) - 巴西联邦警察的取证调查工具 - [Wombat Forensics](https://github.com/pjrinaldi/wombatforensics) - 取证图形界面工具 ### 实时取证 - [grr](https://github.com/google/grr) - GRR Rapid Response：用于事件响应的远程实时取证 - [InnerWarden](https://github.com/InnerWarden/innerwarden) - 具有内置取证捕获功能的安全代理（进程状态、网络连接、内存映射、通过直接读取 /proc 检测隐藏进程） - [Linux Expl0rer](https://github.com/intezer/linux-explorer) - 使用 Python 和 Flask 编写的、易于使用的 Linux 端点实时取证工具箱 - [mig](https://github.com/mozilla/mig) - 以云计算速度进行的分布式实时数字取证 - [osquery](https://github.com/osquery/osquery) - 由 SQL 驱动的操作系统分析工具 - [POFR](https://github.com/gmagklaras/pofr) - Penguin OS 飞行记录器，从 Linux 操作系统收集、存储和组织进程执行、文件访问和网络/Socket 端点数据，以便进一步分析。 - [UAC](https://github.com/tclahr/uac) - UAC (Unix-like Artifacts Collector) 是一个用于事件响应的实时响应收集脚本，利用原生二进制文件和工具自动收集 AIX、Android、ESXi、FreeBSD、Linux、macOS、NetBSD、NetScaler、OpenBSD 和 Solaris 系统的痕迹。 ### IOC 扫描器 - [Fastfinder](https://github.com/codeyourweb/fastfinder) - 快速、可定制的跨平台可疑文件查找器。支持 md5/sha1/sha256 哈希、字面量/通配符字符串、正则表达式和 YARA 规则 - [Fenrir](https://github.com/Neo23x0/Fenrir) - 简单的 Bash IOC 扫描器 - [Loki](https://github.com/Neo23x0/Loki) - 简单的 IOC 和事件响应扫描器 - [Redline](https://fireeye.market/apps/211364) - 来自 FireEye 的免费端点安全工具 - [THOR Lite](https://www.nextron-systems.com/thor-lite/) - 免费的 IOC 和 YARA 扫描器 - [recon](https://github.com/rusty-ferris-club/recon) - 注重性能的文件查找器，支持 SQL 查询，并对文件元数据进行索引和分析，支持 YARA。 ### 数据获取 - [Acquire](https://github.com/fox-it/acquire) - Acquire 是一个用于快速从磁盘镜像或实时系统中收集取证痕迹到轻量级容器中的工具 - [ALEX](https://github.com/prosch88/ALEX) - 在 Windows、Linux 和 MacOS 上从 ADB 设备提取文件。主要是 adbutils 的封装。 - [artifactcollector](https://github.com/forensicanalysis/artifactcollector) - 一个可定制的代理，用于在任何 Windows、macOS 或 Linux 系统上收集取证痕迹 - [ArtifactExtractor](https://github.com/Silv3rHorn/ArtifactExtractor) - 从源镜像和 VSC 中提取常见的 Windows 痕迹 - [AVML](https://github.com/microsoft/avml) - 适用于 Linux 的便携式易失性内存获取工具 - [Belkasoft RAM Capturer](https://belkasoft.com/ram-capturer) - 易失性内存获取工具 - [DFIR ORC](https://dfir-orc.github.io/) - 用于运行 Microsoft Windows 的系统的取证痕迹收集工具 - [FastIR Collector](https://github.com/SekoiaLab/Fastir_Collector) - 在 Windows 上收集痕迹 - [FireEye Memoryze](https://fireeye.market/apps/211368) - 免费的内存取证软件 - [FIT](https://github.com/fit-project/fit) - 对网页、电子邮件、社交媒体等进行取证获取 - [ForensicMiner](https://github.com/securityjoes/ForensicMiner) - 基于 PowerShell 的 DFIR 自动化工具，用于 Windows 机器上的痕迹和证据收集。 - [Fuji](https://github.com/Lazza/Fuji/) - 简化的 MacOS 取证获取。它创建 Mac 计算机的完整文件系统副本或目标集合。 - [Hashment](https://github.com/hashment/yaffs2-forensic-tool) - 用于分析、转储和从 YAFFS2 分区恢复已删除文件的 Python 取证工具。 - [LiME](https://github.com/jtsylve/LiME) - 可加载内核模块 (LKM)，允许从 Linux 和基于 Linux 的设备获取易失性内存，前身为 DMD - [Magnet RAM Capture / DumpIt](https://www.magnetforensics.com/resources/magnet-dumpit-for-windows/) - 专为捕获物理内存而设计的免费镜像工具 - [SPECTR3](https://github.com/alpine-sec/SPECTR3) - 通过便携式 iSCSI 只读访问获取、分类和调查远程证据 - [TriageHasher](https://github.com/FlipForensics/TriageHasher) - 专为 Windows、Linux 和 MacOS 上的分类收集而设计的灵活哈希工具。仅对具有给定扩展名和位置的文件进行哈希处理。 - [UFADE](https://github.com/prosch88/UFADE) - 在 Linux 和 MacOS 上从 iOS 设备提取文件。主要是 pymobiledevice3 的封装。创建 iTunes 风格的备份和高级逻辑备份。 - [unix_collector](https://github.com/op7ic/unix_collector) - 针对 UNIX 类系统的单脚本实时取证收集脚本。 - [Velociraptor](https://github.com/Velocidex/velociraptor) - Velociraptor 是一个使用 Velocidex Query Language (VQL) 查询收集基于主机状态信息的工具 - [WinTriage](https://www.securizame.com/wintriage-the-triage-tool-for-windows-dfirers/) - Wintriage 是一个用于提取 Windows 痕迹的实时响应工具。它必须在本地或域管理员权限下执行，并建议从外部驱动器运行。 ### 镜像 - [dc3dd](https://sourceforge.net/projects/dc3dd/) - dd 的改进版本 - [dcfldd](https://sourceforge.net/projects/dcfldd/) - 另一个 dd 的改进版本（此版本存在一些 bug！，另一个版本在 github [adulau/dcfldd](https://github.com/adulau/dcfldd)) - [FTK Imager](https://www.exterro.com/digital-forensics-software/ftk-imager) - 适用于 Windows 的免费镜像工具 - :star: [Guymager](https://sourceforge.net/projects/guymager/) - Linux 系统上用于磁盘镜像的开源版本 - [acquirepi](https://github.com/plonxyz/acquirepi) - 4n6pi 的继任者，可扩展的取证磁盘镜像工具，专为在树莓派上运行而设计，由 libewf 驱动 ### 数据雕刻 - [bstrings](https://github.com/EricZimmerman/bstrings) - 改进的 strings 实用工具 - [bulk_extractor](https://github.com/simsong/bulk_extractor) - 从磁盘镜像中提取电子邮件地址、信用卡号和直方图等信息 - [floss](https://github.com/mandiant/flare-floss) - 用于自动解混淆恶意软件二进制文件中字符串的静态分析工具 - :star: [photorec](https://www.cgsecurity.org/wiki/PhotoRec) - 文件数据雕刻工具 - [swap_digger](https://github.com/sevagas/swap_digger) - 用于自动化 Linux swap 分析的 bash 脚本，自动进行 swap 提取并搜索 Linux 用户凭据、Web 表单凭据、Web 表单电子邮件等。 ### 内存取证 - [inVtero.net](https://github.com/ShaneK2/inVtero.net) - 高速内存分析框架 使用 .NET 开发，支持所有 Windows x64，包括代码完整性和写入支持 - [KeeFarce](https://github.com/denandz/KeeFarce) - 从内存中提取 KeePass 密码 - [MemProcFS](https://github.com/ufrisk/MemProcFS) - 一种以虚拟文件系统中的文件形式访问物理内存的简便方法。 - [Rekall](https://github.com/google/rekall) - 内存取证框架 - [volatility](https://github.com/volatilityfoundation/volatility) - 内存取证框架 - [VolUtility](https://github.com/kevthehermit/VolUtility) - Volatility 框架的 Web 应用程序 ### 网络取证 - [Kismet](https://github.com/kismetwireless/kismet) - 被动式无线嗅探器 - [NetworkMiner](https://www.netresec.com/?page=Networkminer) - 网络取证分析工具 - [RustNet](https://github.com/domcyrus/rustnet) - 提供网络连接实时可见性的跨平台网络监控终端 UI - [Squey](https://squey.org) - 日志/PCAP 可视化软件，旨在检测大量数据中的异常和微弱信号。 - :star: [WireShark](https://www.wireshark.org/) - 网络协议分析器 ### Windows 迹 - [Beagle](https://github.com/yampelo/beagle) - 将数据源和日志转换为图形 - [Blauhaunt](https://github.com/cgosec/Blauhaunt) - 用于过滤和可视化登录事件的工具集合 - [FRED](https://www.pinguin.lu/fred) - 跨平台的 Microsoft 注册表配置单元编辑器 - [Hayabusa](https://github.com/Yamato-Security/hayabusa) - 基于 sigma 的威胁狩猎和快速 Windows 事件日志取证时间线生成器。 - [LastActivityView](https://www.nirsoft.net/utils/computer_activity_view.html) - Nirsoft 的 LastActivityView 是一款适用于 Windows 操作系统的工具，它从运行系统的各种来源收集信息，并显示用户执行的操作日志以及此计算机上发生的事件。 - [LogonTracer](https://github.com/JPCERTCC/LogonTracer) - 通过可视化和分析 Windows 事件日志来调查恶意的 Windows 登录 - [PyShadow](https://github.com/alicangnll/pyshadow) - 一个用于 Windows 的库，用于读取卷影副本、删除卷影副本、创建到卷影副本的符号链接以及创建卷影副本 - [python-evt](https://github.com/williballenthin/python-evt) - 纯 Python 编写的经典 Windows 事件日志文件 (.evt) 解析器 - [RegRipper3.0](https://github.com/keydet89/RegRipper3.0) - RegRipper 是一个开源的 Perl 工具，用于解析注册表并将其呈现以供分析 - [RegRippy](https://github.com/airbus-cert/regrippy) - 一个用于从 Windows 注册表配置单元中读取和提取有用取证数据的框架 #### NTFS/MFT 处理 - [MFT-Parsers](http://az4n6.blogspot.com/2015/09/whos-your-master-mft-parsers-reviewed.html) - MFT 解析器对比 - [MFTEcmd](https://binaryforay.blogspot.com/2018/06/introducing-mftecmd.html) - 由 Eric Zimmerman 开发的 MFT 解析器 - [MFTExtractor](ttps://github.com/aarsakian/FileSystemForensics) - MFT 解析器 - [MFTMactime](https://github.com/kero99/mftmactime) - MFT 和 USN 解析器，允许以文件系统时间线格式 (mactime) 直接提取，转储 MFT 中在其原始文件夹结构中的所有常驻文件并对它们全部运行 YARA 规则。 - [NTFS journal parser](http://strozfriedberg.github.io/ntfs-linker/) - [NTFSTool](https://github.com/thewhiteninja/ntfstool) - 完整的 NTFS 取证工具 - [NTFS USN Journal parser](https://github.com/PoorBillionaire/USN-Journal-Parser) - [RecuperaBit](https://github.com/Lazza/RecuperaBit) - 重建和恢复 NTFS 数据 - [python-ntfs](https://github.com/williballenthin/python-ntfs) - NTFS 分析 ### OS X 取证 - [APFS Fuse](https://github.com/sgan81/apfs-fuse) - 新 Apple 文件系统的只读 FUSE 驱动程序 - [mac_apt (macOS Artifact Parsing Tool)](https://github.com/ydkhatri/mac_apt) - 从磁盘镜像或实时机器中提取取证痕迹 - [MacLocationsScraper](https://github.com/mac4n6/Mac-Locations-Scraper) - 转储 iOS 和 macOS 上位置数据库文件的内容 - [macMRUParser](https://github.com/mac4n6/macMRU-Parser) - 用于将 macOS 上的最近使用 (MRU) plist 文件解析为更易读格式的 Python 脚本 - [OSXAuditor](https://github.com/jipegit/OSXAuditor) - [OSX Collect](https://github.com/YelpArchive/osxcollector) ### 移动端取证 - [Andriller](https://github.com/den4uk/andriller) - 包含智能手机取证工具集的软件实用程序 - [ALEAPP](https://github.com/abrignoni/ALEAPP) - Android 日志事件和 Protobuf 解析器 - [ArtEx](https://www.doubleblak.com/index.php) - 针对 iOS 完整文件系统提取的痕迹检查器 - [iLEAPP](https://github.com/abrignoni/iLEAPP) - iOS 日志、事件和 Plists 解析器 - [iOS Frequent Locations Dumper](https://github.com/mac4n6/iOS-Frequent-Locations-Dumper) - 转储位于 /private/var/mobile/Library/Caches/com.apple.routined/ 中的 StateModel#.archive 文件的内容 - [MEAT](https://github.com/jfarley248/MEAT) - 在 iOS 设备上执行不同类型的获取 - [MobSF](https://github.com/MobSF/Mobile-Security-Framework-MobSF) - 自动化、多合一的移动应用程序 (Android/iOS/Windows) 渗透测试、恶意软件分析和安全评估框架，能够执行静态和动态分析。 - [OpenBackupExtractor](https://github.com/vgmoose/OpenBackupExtractor) - 用于从 iPhone 和 iPad 备份中提取数据的应用程序。 ### Docker 取证 - [dof (Docker Forensics Toolkit)](https://github.com/docker-forensics-toolkit/toolkit) - 从 Docker 主机系统的磁盘镜像中提取和解释取证痕迹 - [Docker Explorer](https://github.com/google/docker-explorer) 从 Docker 主机系统的磁盘镜像中提取和解释取证痕迹 ### 互联网痕迹 - [ChromeCacheView](https://www.nirsoft.net/utils/chrome_cache_view.html) - 一个小型实用程序，可读取 Google Chrome 网络浏览器的缓存文件夹，并显示当前存储在缓存中的所有文件的列表 - [chrome-url-dumper](https://github.com/eLoopWoo/chrome-url-dumper) - 转储 Chrome 收集的所有本地存储信息 - [hindsight](https://github.com/RyanDFIR/hindsight) - 针对 Google Chrome/Chromium 的互联网历史记录取证 - [IE10Analyzer](https://github.com/moaistory/IE10Analyzer) - 此工具可以解析正常记录并恢复 WebCacheV01.dat 中的已删除记录。 - [unfurl](https://github.com/RyanDFIR/unfurl) - 从 URL 中提取和可视化数据 - [Wayback-Archive](https://github.com/GeiserX/Wayback-Archive) - 从 Wayback Machine 下载完整网站，并完全保留资源以供离线查看。 - [WinSearchDBAnalyzer](https://github.com/moaistory/WinSearchDBAnalyzer) - 此工具可以解析正常记录并恢复 Windows.edb 中的已删除记录。 ### 时间线分析 - [DFTimewolf](https://github.com/log2timeline/dftimewolf) - 使用 GRR 和 Rekall 编排取证收集、处理和数据导出的框架 - :star: [plaso](https://github.com/log2timeline/plaso) - 从各种文件中提取时间戳并将其聚合 - [Timeline Explorer](https://binaryforay.blogspot.com/2017/04/introducing-timeline-explorer-v0400.html) - 针对 CSV 和 Excel 文件的时间线分析工具。专为 SANS FOR508 学生构建 - [timeliner](https://github.com/airbus-cert/timeliner) - mactime 的重写版本，一个 bodyfile 读取器 - [timesketch](https://github.com/google/timesketch) - 协作式取证时间线分析 ### 磁盘镜像处理 - [Disk Arbitrator](https://github.com/aburgh/Disk-Arbitrator) - 一款 Mac OS X 取证实用程序，旨在帮助用户确保在磁盘设备镜像过程中遵循正确的取证程序 - [imagemounter](https://github.com/ralphje/imagemounter) - 命令行实用程序和 Python 包，用于简化取证磁盘镜像的 (卸) 挂载 - [libewf](https://github.com/libyal/libewf) - Libewf 是一个库和一些用于访问 Expert Witness Compression Format (EWF, E01) 的工具 - [PancakeViewer](https://github.com/forensicmatt/PancakeViewer) - 基于 dfvfs 的磁盘镜像查看器，类似于 FTK Imager 查看器 - [xmount](https://www.pinguin.lu/xmount) - 在不同的磁盘镜像格式之间进行转换 ### 解密 - [hashcat](https://hashcat.net/hashcat/) - 支持 GPU 的快速密码破解器 - [John the Ripper](https://www.openwall.com/john/) - 密码破解器 ### 管理 - [Catalyst](https://github.com/SecurityBrewery/catalyst) - Catalyst 是一个开源的安全自动化和工单系统 - [dfirtrack](https://github.com/dfirtrack/dfirtrack) - 数字取证和事件响应跟踪应用程序，用于跟踪系统 - [Incidents](https://github.com/veeral-patel/incidents) - 用于组织非 trivial 安全调查的 Web 应用程序。基于事件是工单树、其中一些工单是线索的理念构建 - [iris](https://github.com/dfir-iris/iris-web) - 协作式事件响应平台 ### 图像分析 - [Ghiro](https://github.com/Ghirensics/ghiro) - 旨在对大量图像运行取证分析的全自动化工具 - [sherloq](https://github.com/GuidoBartoli/sherloq) - 开源的数字摄影图像取证工具集 ### 元数据取证 - [EXIF Editor](https://exifeditor.io/) 浏览器内、隐私优先的 EXIF 查看器/编辑器/分析工具（零注册）。The EXIF Guide 和 The EXIF Quiz 的主页。 - [ExifTool](https://exiftool.org/) 作者 Phil Harvey - [FOCA](https://github.com/ElevenPaths/FOCA) - FOCA 是一种主要用于在文档中查找元数据和隐藏信息的工具 - [Metagoofil](https://github.com/laramies/metagoofil) - 用于从公开文档中提取元数据的元数据收集器 - [mat2](https://github.com/jvoisin/mat2) - 元数据删除工具，支持多种常用文件格式 - [oletools](https://github.com/decalage2/oletools) - 用于分析 Microsoft OLE2 文件和 MS Office 文档以进行恶意软件分析和取证的工具 - [pdf-parser](https://blog.didierstevens.com/programs/pdf-tools/) - 解析和分析 PDF 文件以提取元数据并识别恶意内容 - [questio](https://github.com/abcreativ/questio) - 取证 PDF 审计 CLI，通过字体会话跟踪、修订历史映射和生成器元数据分析来检测被编辑或篡改的 PDF。本地优先，无需上传。 ### 隐写术 - [Sonicvisualizer](https://www.sonicvisualiser.org) - [Steghide](https://github.com/StegHigh/steghide) - 是一个在各种类型的图像和音频文件中隐藏数据的隐写术程序 - [Wavsteg](https://github.com/samolds/wavsteg) - 是一个在各种类型的图像和音频文件中隐藏数据的隐写术程序 - [Zsteg](https://github.com/zed-0xff/zsteg) - 针对 WAV 文件的隐写编码器 ## 学习取证 - [取证挑战](https://www.amanhardikar.com/mindmaps/ForensicChallenges.html) - 取证挑战的思维导图 ### CTF 与挑战 - [BelkaCTF](https://belkasoft.com/ctf) - 由 Belkasoft 举办的 CTF - [CyberDefenders](https://cyberdefenders.org/blueteam-ctf-challenges/?type=ctf) - [DefCon CTFs](https://archive.ooo) - DEF CON CTF 挑战存档。 - [Forensics CTFs](https://github.com/apsdehal/awesome-ctf/blob/master/README.md#forensics) - [MagnetForensics CTF Challenge](https://www.magnetforensics.com/blog/magnet-weekly-ctf-challenge/) - [MalwareTech Labs](https://malwaretech.com/labs/) - [MemLabs](https://github.com/stuxnet999/MemLabs) - [NW3C Chanllenges](https://nw3.ctfd.io) - [Precision Widgets of North Dakota Intrusion](https://betweentwodfirns.blogspot.com/2017/11/dfir-ctf-precision-widgets-of-north.html) - [ReverseEngineering Challenges](https://challenges.re) ## 资源 ### 网站 - [ForensicsFocus](https://www.forensicfocus.com/) - [SANS Digital Forensics](https://www.sans.org/cybersecurity-focus-areas/digital-forensics-incident-response) - [Forensics StartMe by Stark 4N6](https://startme.stark4n6.com) ### 博客 - [Netresec](https://www.netresec.com/index.ashx?page=Blog) - [SANS Forensics Blog](https://www.sans.org/blog?focus-area=digital-forensics) - [SecurityAffairs](https://securityaffairs.com/) - 作者 Pierluigi Paganini 的博客 - [This Week In 4n6](https://thisweekin4n6.com/) - 取证方面的每周更新 - [Zena Forensics](https://blog.digital-forensics.it/) ### 书籍 *更多内容请访问 Andrew Case 的 [推荐读物](http://dfir.org/?q=node/8)* - [Network Forensics: Tracking Hackers through Cyberspace](https://www.pearson.com/en-us/subject-catalog/p/Davidoff-Network-Forensics-Tracking-Hackers-through-Cyberspace/P200000009228) - 学会识别黑客的踪迹并发现基于网络的证据 - [The Art of Memory Forensics](https://memoryanalysis.net/amf/) - 检测 Windows、Linux 和 Mac 内存中的恶意软件和威胁 - [The Practice of Network Security Monitoring](https://nostarch.com/nsm) - 理解事件检测与响应 ### 文件系统语料库 - [Digital Forensic Challenge Images](https://www.ashemery.com/dfir.html) - 包含镜像的两个 DFIR 挑战 - [Digital Forensics Tool Testing Images](https://sourceforge.net/projects/dftt/) ### 其他 - [/r/computerforensics/](https://www.reddit.com/r/computerforensics/) - 计算机取证 Subreddit - [CybersecurityGuide – Digital Forensics Careers](https://cybersecurityguide.org/careers/digital-forensics/) - 关于网络取证技能、认证和职业路径的指南。 - [ForensicPosters](https://github.com/Invoke-IR/ForensicPosters) - 文件系统结构的海报 - [SANS Posters](https://www.sans.org/posters) - SANS 提供的免费海报 ### 实验室 - [BlueTeam.Lab](https://github.com/op7ic/BlueTeam.Lab) - 使用 Terraform 和 Ansible 在 Azure 中创建的蓝队检测实验室。 ## 相关精选列表 - [Android Security](https://github.com/ashishb/android-security-awesome) - [AppSec](https://github.com/paragonie/awesome-appsec) - [CTFs](https://github.com/apsdehal/awesome-ctf) - [Hacking](https://github.com/carpedm20/awesome-hacking) - [Honeypots](https://github.com/paralax/awesome-honeypots) - [Incident-Response](https://github.com/meirwah/awesome-incident-response) - [Infosec](https://github.com/onlurking/awesome-infosec) - [Malware Analysis](https://github.com/rshipp/awesome-malware-analysis) - [Pentesting](https://github.com/enaqx/awesome-pentest) - [Security](https://github.com/sbilly/awesome-security) - [Social Engineering](https://github.com/giuliacassara/awesome-social-engineering) - [YARA]() ## [贡献](CONTRIBUTING.md) 欢迎提交带有建议的 Pull requests 和 Issues！

标签：AD攻击面, AI合规, DAST, Docker取证, HTTPS请求, HTTP请求, IOC扫描, Linux取证, macOS取证, MFT, NTFS, SecList, Windows取证, 元数据分析, 内存取证, 内核模块, 域渗透, 多线程, 安全工具集, 安全资源, 库, 应急响应, 应用安全, 开源资源, 恶意软件分析, 数字取证, 数字取证工具, 数字调查, 数据解密, 文件雕刻, 日志审计, 电子数据取证, 磁盘取证, 磁盘镜像, 移动端取证, 自动化脚本, 路径枚举, 逆向工具, 隐写术