cugu/awesome-forensics

# Awesome Forensics [](https://github.com/cugu/awesome-forensics) 精选的 **免费**（主要是开源）取证分析工具和资源列表。 - Awesome Forensics - [合集](#collections) - [工具](#tools) - [发行版](#distributions) - [框架](#frameworks) - [实时取证](#live-forensics) - [IOC 扫描器](#ioc-scanner) - [获取](#acquisition) - [镜像制作](#imaging) - [数据恢复](#carving) - [内存取证](#memory-forensics) - [网络取证](#network-forensics) - [Windows 证据](#windows-artifacts) - [NTFS/MFT 处理](#ntfsmft-processing) - [OS X 取证](#os-x-forensics) - [移动取证](#mobile-forensics) - [Docker 取证](#docker-forensics) - [互联网证据](#internet-artifacts) - [时间线分析](#timeline-analysis) - [磁盘镜像处理](#disk-image-handling) - [解密](#decryption) - [管理](#management) - [图片分析](#picture-analysis) - [元数据取证](#metadata-forensics) - [隐写术](#steganography) - [学习取证](#learn-forensics) - [CTF 和挑战](#ctfs-and-challenges) - [资源](#resources) - [Web](#web) - [博客](#blogs) - [书籍](#books) - [文件系统语料库](#file-system-corpora) - [其他](#other) - [实验室](#labs) - [相关 Awesome 列表](#related-awesome-lists) - [贡献](#contributing) ## 合集 - [AboutDFIR – The Definitive Compendium Project](https://aboutdfir.com) - 用于学习和研究的取证资源合集。提供认证、书籍、博客、挑战等列表。 - :star: [ForensicArtifacts.com Artifact Repository](https://github.com/ForensicArtifacts/artifacts) - 机器可读的取证证据知识库。 ## 工具 - [Wikipedia 上的取证工具](https://en.wikipedia.org/wiki/List_of_digital_forensics_tools) - [Eric Zimmerman 的工具](https://ericzimmerman.github.io/#!index.md) ### 发行版 - [bitscout](https://github.com/vitaly-kamluk/bitscout) - 用于远程取证获取和分析的 LiveCD/LiveUSB。 - [Remnux](https://remnux.org/) - 用于逆向工程和分析恶意软件的发行版。 - [SANS Investigative Forensics Toolkit (sift)](https://github.com/teamdfir/sift) - 用于取证分析的 Linux 发行版。 - [Tsurugi Linux](https://tsurugi-linux.org/) - 用于取证分析的 Linux 发行版。 - [WinFE](https://www.winfe.net/home) - Windows 取证环境。 ### 框架 - [AIFT](https://github.com/FlipForensics/AIFT) - AIFT (AI Forensic Triage) 使用 dissect 解析证据并生成 AI 辅助的取证报告。 - :star:[Autopsy](http://www.sleuthkit.org/autopsy/) - SleuthKit 的图形用户界面。 - [dexter](https://github.com/coinbase/dexter) - Dexter 是一个取证获取框架，设计为可扩展且安全的。 - [dff](https://github.com/arxsys/dff) - 取证框架。 - [Dissect](https://github.com/fox-it/dissect) - Dissect 是一个数字取证和事件响应框架及工具集，由 Fox-IT（NCC Group 的一部分）开发，允许您快速访问和分析来自各种磁盘和文件格式的取证证据。 - [hashlookup-forensic-analyser](https://github.com/hashlookup/hashlookup-forensic-analyser) - 用于分析从取证获取中获得的文件的工具，以便从 [hashlookup](https://www.circl.lu/services/hashlookup/) API 或使用本地 Bloom 过滤器查找已知/未知的哈希值。 - [IntelMQ](https://github.com/certtools/intelmq) - IntelMQ 收集和处理安全情报源。 - [Kuiper](https://github.com/DFIRKuiper/Kuiper) - 数字调查平台。 - [Laika BOSS](https://github.com/lmco/laikaboss) - Laika 是一个对象扫描器和入侵检测系统。 - [OpenRelik](https://openrelik.org/) - 用于存储文件证据和运行工作流的取证平台。 - [PowerForensics](https://github.com/Invoke-IR/PowerForensics) - PowerForensics 是一个用于实时磁盘取证的框架。 - [TAPIR](https://github.com/tap-ir/tapir) - TAPIR (Trustable Artifacts Parser for Incident Response) 是一个多用户、客户端/服务器的事件响应框架。 - :star: [The Sleuth Kit](https://github.com/sleuthkit/sleuthkit) - 用于底层取证分析的工具。 - [turbinia](https://github.com/google/turbinia) - Turbinia 是一个开源框架，用于在云平台上部署、管理和运行取证工作负载。 - [IPED - Indexador e Processador de Evidências Digitais](https://github.com/sepinf-inc/IPED) - 巴西联邦警察的取证调查工具。 - [Wombat Forensics](https://github.com/pjrinaldi/wombatforensics) - 取证图形界面工具。 ### 实时取证 - [grr](https://github.com/google/grr) - GRR Rapid Response：用于事件响应的远程实时取证。 - [InnerWarden](https://github.com/InnerWarden/innerwarden) - 内置取证捕获功能的安全代理（进程状态、网络连接、内存映射、通过直接 /proc 读取检测隐藏进程）。 - [Linux Expl0rer](https://github.com/intezer/linux-explorer) - 用 Python 和 Flask 编写的易于使用的 Linux 端点实时取证工具箱。 - [mig](https://github.com/mozilla/mig) - 以云的速度进行分布式和实时的数字取证。 - [osquery](https://github.com/osquery/osquery) - 由 SQL 驱动的操作系统分析工具。 - [POFR](https://github.com/gmagklaras/pofr) - The Penguin OS Flight Recorder 收集、存储并组织来自 Linux 操作系统的进程执行、文件访问和网络/套接字端点数据以供进一步分析。 - [UAC](https://github.com/tclahr/uac) - UAC (Unix-like Artifacts Collector) 是一个用于事件响应的实时响应收集脚本，它利用原生二进制文件和工具来自动化收集 AIX、Android、ESXi、FreeBSD、Linux、macOS、NetBSD、NetScaler、OpenBSD 和 Solaris 系统的证据。 ### IOC 扫描器 - [Fastfinder](https://github.com/codeyourweb/fastfinder) - 快速的可定制跨平台可疑文件查找器。支持 md5/sha1/sha256 哈希、字面量/通配符字符串、正则表达式和 YARA 规则。 - [Fenrir](https://github.com/Neo23x0/Fenrir) - 简单的 Bash IOC 扫描器。 - [Loki](https://github.com/Neo23x0/Loki) - 简单的 IOC 和事件响应扫描器。 - [Redline](https://fireeye.market/apps/211364) - FireEye 提供的免费端点安全工具。 - [THOR Lite](https://www.nextron-systems.com/thor-lite/) - 免费的 IOC 和 YARA 扫描器。 - [recon](https://github.com/rusty-ferris-club/recon) - 面向性能的文件查找器，支持 SQL 查询，索引和分析文件元数据，并支持 YARA。 ### 获取 - [Acquire](https://github.com/fox-it/acquire) - Acquire 是一个工具，用于从磁盘镜像或实时系统快速收集取证证据到轻量级容器中。 - [ALEX](https://github.com/prosch88/ALEX) - 在 Windows、Linux 和 MacOS 上从 ADB 设备提取文件。主要是 adbutils 的封装。 - [artifactcollector](https://github.com/forensicanalysis/artifactcollector) - 一个可定制的代理，用于在任何 Windows、macOS 或 Linux 系统上收集取证证据。 - [ArtifactExtractor](https://github.com/Silv3rHorn/ArtifactExtractor) - 从源镜像和 VSC 中提取常见的 Windows 证据。 - [AVML](https://github.com/microsoft/avml) - 用于 Linux 的便携式易失性内存获取工具。 - [Belkasoft RAM Capturer](https://belkasoft.com/ram-capturer) - 易失性内存获取工具。 - [DFIR ORC](https://dfir-orc.github.io/) - 用于运行 Microsoft Windows 的系统的取证证据收集工具。 - [FastIR Collector](https://github.com/SekoiaLab/Fastir_Collector) - 在 Windows 上收集证据。 - [FireEye Memoryze](https://fireeye.market/apps/211368) - 一个免费的内存取证软件。 - [FIT](https://github.com/fit-project/fit) - 网页、电子邮件、社交媒体等的取证获取。 - [ForensicMiner](https://github.com/securityjoes/ForensicMiner) - 基于 PowerShell 的 DFIR 自动化工具，用于在 Windows 机器上收集证据和证据文件。 - [Fuji](https://github.com/Lazza/Fuji/) - 简化 MacOS 取证获取。它创建完整的文件系统副本或 Mac 计算机的定向收集。 - [Hashment](https://github.com/hashment/yaffs2-forensic-tool) - Python 取证工具，用于分析、转储和从 YAFFS2 分区恢复已删除的文件。 - [LiME](https://github.com/jtsylve/LiME) - 可加载内核模块 (LKM)，允许从 Linux 和基于 Linux 的设备获取易失性内存，以前称为 DMD。 - [Magnet RAM Capture / DumpIt](https://www.magnetforensics.com/resources/magnet-dumpit-for-windows/) - 一个免费的镜像工具，设计用于捕获物理内存。 - [SPECTR3](https://github.com/alpine-sec/SPECTR3) - 通过便携式 iSCSI 只读访问来获取、分类和调查远程证据。 - [TriageHasher](https://github.com/FlipForensics/TriageHasher) - 一个灵活的哈希工具，专为在 Windows、Linux 和 MacOS 上进行分类收集而设计。仅对具有给定扩展名和位置的文件进行哈希处理。 - [UFADE](https://github.com/prosch88/UFADE) - 在 Linux 和 MacOS 上从 iOS 设备提取文件。主要是 pymobiledevice3 的封装。创建 iTunes 风格的备份和高级逻辑备份。 - [unix_collector](https://github.com/op7ic/unix_collector) - 一个用于类 UNIX 系统的单脚本实时取证收集脚本。 - [Velociraptor](https://github.com/Velocidex/velociraptor) - Velociraptor 是一个使用 Velocidex 查询语言 (VQL) 查询来收集基于主机的状态信息的工具。 - [WinTriage](https://www.securizame.com/wintriage-the-triage-tool-for-windows-dfirers/) - Wintriage 是一个提取 Windows 证据的实时响应工具。它必须使用本地或域管理员权限执行，建议从外部驱动器执行。 ### 镜像制作 - [dc3dd](https://sourceforge.net/projects/dc3dd/) - dd 的改进版本。 - [dcfldd](https://sourceforge.net/projects/dcfldd/) - dd 的不同改进版本（此版本有一些错误！，另一个版本在 github 上 [adulau/dcfldd](https://github.com/adulau/dcfldd)）。 - [FTK Imager](https://www.exterro.com/digital-forensics-software/ftk-imager) - Windows 的免费镜像工具。 - :star: [Guymager](https://sourceforge.net/projects/guymager/) - Linux 系统上磁盘镜像的开源版本。 - [acquirepi](https://github.com/plonxyz/acquirepi) - 4n6pi 的继任者，可扩展的取证磁盘镜像工具，设计为在 Raspberry Pi 上运行，由 libewf 提供支持。 ### 数据恢复 - [bstrings](https://github.com/EricZimmerman/bstrings) - 改进的 strings 工具。 - [bulk_extractor](https://github.com/simsong/bulk_extractor) - 从磁盘镜像中提取信息，如电子邮件地址、信用卡号码和直方图。 - [floss](https://github.com/mandiant/flare-floss) - 静态分析工具，用于自动从恶意软件二进制文件中反混淆字符串。 - :star: [photorec](https://www.cgsecurity.org/wiki/PhotoRec) - 文件恢复工具。 - [swap_digger](https://github.com/sevagas/swap_digger) - 一个用于自动化 Linux 交换分析的 bash 脚本，自动化交换提取并搜索 Linux 用户凭据、Web 表单凭据、Web 表单电子邮件等。 ### 内存取证 - [inVtero.net](https://github.com/ShaneK2/inVtero.net) - 高速内存分析框架，用 .NET 开发，支持所有 Windows x64，包括代码完整性和写入支持。 - [KeeFarce](https://github.com/denandz/KeeFarce) - 从内存中提取 KeePass 密码。 - [MemProcFS](https://github.com/ufrisk/MemProcFS) - 以虚拟文件系统文件的形式访问物理内存的一种简单便捷的方式。 - [Rekall](https://github.com/google/rekall) - 内存取证框架。 - [volatility](https://github.com/volatilityfoundation/volatility) - 内存取证框架。 - [VolUtility](https://github.com/kevthehermit/VolUtility) - Volatility 框架的 Web 应用程序。 ### 网络取证 - [Kismet](https://github.com/kismetwireless/kismet) - 被动无线嗅探器。 - [NetworkMiner](https://www.netresec.com/?page=Networkminer) - 网络取证分析工具。 - [RustNet](https://github.com/domcyrus/rustnet) - 跨平台网络监控终端 UI，提供网络连接的实时可见性。 - [Squey](https://squey.org) - 日志/PCAP 可视化软件，旨在检测大量数据中的异常和弱信号。 - :star: [WireShark](https://www.wireshark.org/) -网络协议分析器。 ### Windows 证据 - [Beagle](https://github.com/yampelo/beagle) - 将数据源和日志转换为图形。 - [Blauhaunt](https://github.com/cgosec/Blauhaunt) - 用于过滤和可视化登录事件的工具集合。 - [FRED](https://www.pinguin.lu/fred) - 跨平台微软注册表配置单元编辑器。 - [Hayabusa](https://github.com/Yamato-Security/hayabusa) - 基于 sigma 的 Windows 事件日志威胁搜寻和快速取证时间线生成器。 - [LastActivityView](https://www.nirsoft.net/utils/computer_activity_view.html) - Nirsoft 的 LastActivityView 是一个适用于 Windows 操作系统的工具，它从运行系统上的各种来源收集信息，并显示用户所做的操作和此计算机上发生的事件的日志。 - [LogonTracer](https://github.com/JPCERTCC/LogonTracer) - 通过可视化和分析 Windows 事件日志来调查恶意 Windows 登录。 - [PyShadow](https://github.com/alicangnll/pyshadow) - 一个用于 Windows 的库，用于读取卷影副本、删除卷影副本、创建指向卷影副本的符号链接以及创建卷影副本。 - [python-evt](https://github.com/williballenthin/python-evt) - 用于经典 Windows 事件日志文件 (.evt) 的纯 Python 解析器。 - [RegRipper3.0](https://github.com/keydet89/RegRipper3.0) - RegRipper 是一个用于解析注册表并将其呈现以供分析的开源 Perl 工具。 - [RegRippy](https://github.com/airbus-cert/regrippy) - 用于从 Windows 注册表配置单元中读取和提取有用取证数据的框架。 #### NTFS/MFT 处理 - [MFT-Parsers](http://az4n6.blogspot.com/2015/09/whos-your-master-mft-parsers-reviewed.html) - MFT 解析器的比较。 - [MFTEcmd](https://binaryforay.blogspot.com/2018/06/introducing-mftecmd.html) - Eric Zimmerman 的 MFT 解析器。 - [MFTExtractor](ttps://github.com/aarsakian/FileSystemForensics) - MFT 解析器。 - [MFTMactime](https://github.com/kero99/mftmactime) - MFT 和 USN 解析器，允许直接以文件系统时间线格式 提取，将 MFT 中的所有驻留文件以其原始文件夹结构转储，并对它们运行 yara 规则。 - [NTFS journal parser](http://strozfriedberg.github.io/ntfs-linker/) - [NTFSTool](https://github.com/thewhiteninja/ntfstool) - 完整的 NTFS 取证工具。 - [NTFS USN Journal parser](https://github.com/PoorBillionaire/USN-Journal-Parser) - [RecuperaBit](https://github.com/Lazza/RecuperaBit) - 重建和恢复 NTFS 数据。 - [python-ntfs](https://github.com/williballenthin/python-ntfs) - NTFS 分析。 ### OS X 取证 - [APFS Fuse](https://github.com/sgan81/apfs-fuse) - 用于新型 Apple 文件系统的只读 FUSE 驱动程序。 - [mac_apt (macOS Artifact Parsing Tool)](https://github.com/ydkhatri/mac_apt) - 从磁盘镜像或实时计算机中提取取证证据。 - [MacLocationsScraper](https://github.com/mac4n6/Mac-Locations-Scraper) - 转储 iOS 和 macOS 上位置数据库文件的内容。 - [macMRUParser](https://github.com/mac4n6/macMRU-Parser) - Python 脚本，用于将 macOS 上的最近使用 (MRU) plist 文件解析为更易于人类理解的格式。 - [OSXAuditor](https://github.com/jipegit/OSXAuditor) - [OSX Collect](https://github.com/YelpArchive/osxcollector) ### 移动取证 - [Andriller](https://github.com/den4uk/andriller) - 一个包含智能手机取证工具集合的软件实用程序。 - [ALEAPP](https://github.com/abrignoni/ALEAPP) - Android 日志事件和 Protobuf 解析器。 - [ArtEx](https://www.doubleblak.com/index.php) - iOS 全文件系统提取的证据检查器。 - [iLEAPP](https://github.com/abrignoni/iLEAPP) - iOS 日志、事件和 Plist 解析器。 - [iOS Frequent Locations Dumper](https://github.com/mac4n6/iOS-Frequent-Locations-Dumper) - 转储位于 /private/var/mobile/Library/Caches/com.apple.routined/ 中的 StateModel#.archive 文件的内容。 - [MEAT](https://github.com/jfarley248/MEAT) - 对 iOS 设备执行不同类型的获取。 - [MobSF](https://github.com/MobSF/Mobile-Security-Framework-MobSF) - 自动化的、一体化的移动应用程序 (Android/iOS/Windows) 渗透测试、恶意软件分析和安全评估框架，能够执行静态和动态分析。 - [OpenBackupExtractor](https://github.com/vgmoose/OpenBackupExtractor) - 用于从 iPhone 和 iPad 备份中提取数据的应用程序。 ### Docker 取证 - [dof (Docker Forensics Toolkit)](https://github.com/docker-forensics-toolkit/toolkit) - 从 Docker 主机系统的磁盘镜像中提取和解释取证证据。 - [Docker Explorer](https://github.com/google/docker-explorer) 从 Docker 主机系统的磁盘镜像中提取和解释取证证据。 ### 互联网证据 - [ChromeCacheView](https://www.nirsoft.net/utils/chrome_cache_view.html) - 一个小型实用程序，用于读取 Google Chrome Web 浏览器的缓存文件夹，并显示当前存储在缓存中的所有文件的列表。 - [chrome-url-dumper](https://github.com/eLoopWoo/chrome-url-dumper) - 转储 Chrome 收集的所有本地存储信息。 - [hindsight](https://github.com/RyanDFIR/hindsight) - Google Chrome/Chromium 的互联网历史取证。 - [IE10Analyzer](https://github.com/moaistory/IE10Analyzer) - 该工具可以解析 WebCacheV01.dat 中的正常记录并恢复已删除的记录。 - [unfurl](https://github.com/RyanDFIR/unfurl) - 从 URL 中提取和可视化数据。 - [Wayback-Archive](https://github.com/GeiserX/Wayback-Archive) - 从 Wayback Machine 下载完整的网站，并完整保留资产以供离线查看。 - [WinSearchDBAnalyzer](https://github.com/moaistory/WinSearchDBAnalyzer) - 该工具可以解析 Windows.edb 中的正常记录并恢复已删除的记录。 ### 时间线分析 - [DFTimewolf](https://github.com/log2timeline/dftimewolf) - 用于使用 GRR 和 Rekall 编排取证收集、处理和数据导出的框架。 - :star: [plaso](https://github.com/log2timeline/plaso) - 从各种文件中提取时间戳并将其汇总。 - [Timeline Explorer](https://binaryforay.blogspot.com/2017/04/introducing-timeline-explorer-v0400.html) - CSV 和 Excel 文件的时间线分析工具。专为 SANS FOR508 学员构建。 - [timeliner](https://github.com/airbus-cert/timeliner) - mactime 的重写版，一个 bodyfile 阅读器。 - [timesketch](https://github.com/google/timesketch) - 协作取证时间线分析。 ### 磁盘镜像处理 - [Disk Arbitrator](https://github.com/aburgh/Disk-Arbitrator) - Mac OS X 取证实用程序，旨在帮助用户确保在对磁盘设备进行镜像制作期间遵循正确的取证程序。 - [imagemounter](https://github.com/ralphje/imagemounter) - 命令行实用程序和 Python 包，用于简化取证磁盘镜像的挂载/卸载。 - [libewf](https://github.com/libyal/libewf) - Libewf 是一个库和一些工具，用于访问 Expert Witness 压缩格式 (EWF, E01)。 - [PancakeViewer](https://github.com/forensicmatt/PancakeViewer) - 基于 dfvfs 的磁盘镜像查看器，类似于 FTK Imager 查看器。 - [xmount](https://www.pinguin.lu/xmount) - 在不同磁盘镜像格式之间转换。 ### 解密 - [hashcat](https://hashcat.net/hashcat/) - 支持 GPU 的快速密码破解工具。 - [John the Ripper](https://www.openwall.com/john/) - 密码破解工具。 ### 管理 - [Catalyst](https://github.com/SecurityBrewery/catalyst) - Catalyst 是一个开源的安全自动化和工单系统。 - [dfirtrack](https://github.com/dfirtrack/dfirtrack) - 数字取证和事件响应跟踪应用程序，跟踪系统。 - [Incidents](https://github.com/veeral-patel/incidents) - 用于组织非平凡安全调查的 Web 应用程序。建立在事件是工单树的基础上，其中一些工单是线索这一理念之上。 - [iris](https://github.com/dfir-iris/iris-web) - 协作事件响应平台。 ### 图片分析 - [Ghiro](https://github.com/Ghirensics/ghiro) - 一个完全自动化的工具，旨在对大量图像运行取证分析。 - [sherloq](https://github.com/GuidoBartoli/sherloq) - 一个开源的数字摄影图像取证工具集。 ### 元数据取证 - [EXIF Editor](https://exifeditor.io/) 浏览器内、隐私优先的 EXIF 查看器/编辑器/分析工具（零注册）。The EXIF Guide 和 The EXIF Quiz 的所在地。 - [Phil Harvey 的 ExifTool](https://exiftool.org/) - [FOCA](https://github.com/ElevenPaths/FOCA) - FOCA 是一种主要用于在文档中查找元数据和隐藏信息的工具。 - [Metagoofil](https://github.com/laramies/metagoofil) - 元数据收集器，用于从公共文档中提取元数据。 - [mat2](https://github.com/jvoisin/mat2) - 元数据删除工具，支持多种常用的文件格式。 - [oletools](https://github.com/decalage2/oletools) - 用于分析 Microsoft OLE2 文件和 MS Office 文档以进行恶意软件分析和取证的工具。 - [pdf-parser](https://blog.didierstevens.com/programs/pdf-tools/) - 解析和分析 PDF 文件以提取元数据并识别恶意内容。 - [questio](https://github.com/abcreativ/questio) - 取证 PDF 审计 CLI，通过字体会话跟踪、修订历史映射和生成者元数据分析来检测编辑或篡改的 PDF。本地优先，无上传。 ### 隐写术 - [Sonicvisualizer](https://www.sonicvisualiser.org) - [Steghide](https://github.com/StegHigh/steghide) - 是一个隐写术程序，将数据隐藏在各种图像和音频文件中。 - [Wavsteg](https://github.com/samolds/wavsteg) - 是一个隐写术程序，将数据隐藏在各种图像和音频文件中。 - [Zsteg](https://github.com/zed-0xff/zsteg) - 用于 WAV 文件的隐写编码器。 ## 学习取证 - [取证挑战](https://www.amanhardikar.com/mindmaps/ForensicChallenges.html) - 取证挑战的思维导图。 ### CTF 和挑战 - [BelkaCTF](https://belkasoft.com/ctf) - Belkasoft 举办的 CTF。 - [CyberDefenders](https://cyberdefenders.org/blueteam-ctf-challenges/?type=ctf) - [DefCon CTFs](https://archive.ooo) - DEF CON CTF 挑战存档。 - [Forensics CTFs](https://github.com/apsdehal/awesome-ctf/blob/master/README.md#forensics) - [MagnetForensics CTF Challenge](https://www.magnetforensics.com/blog/magnet-weekly-ctf-challenge/) - [MalwareTech Labs](https://malwaretech.com/labs/) - [MemLabs](https://github.com/stuxnet999/MemLabs) - [NW3C Chanllenges](https://nw3.ctfd.io) - [Precision Widgets of North Dakota Intrusion](https://betweentwodfirns.blogspot.com/2017/11/dfir-ctf-precision-widgets-of-north.html) - [ReverseEngineering Challenges](https://challenges.re) ## 资源 ### Web - [ForensicsFocus](https://www.forensicfocus.com/) - [SANS Digital Forensics](https://www.sans.org/cybersecurity-focus-areas/digital-forensics-incident-response) - [Forensics StartMe by Stark 4N6](https://startme.stark4n6.com) ### 博客 - [Netresec](https://www.netresec.com/index.ashx?page=Blog) - [SANS Forensics Blog](https://www.sans.org/blog?focus-area=digital-forensics) - [SecurityAffairs](https://securityaffairs.com/) - Pierluigi Paganini 的博客。 - [This Week In 4n6](https://thisweekin4n6.com/) - 取证每周更新。 - [Zena Forensics](https://blog.digital-forensics.it/) ### 书籍 *更多内容请参阅 Andrew Case 的 [Recommended Readings](http://dfir.org/?q=node/8)* - [Network Forensics: Tracking Hackers through Cyberspace](https://www.pearson.com/en-us/subject-catalog/p/Davidoff-Network-Forensics-Tracking-Hackers-through-Cyberspace/P200000009228) - 学习识别黑客踪迹并发现基于网络的证据。 - [The Art of Memory Forensics](https://memoryanalysis.net/amf/) - 检测 Windows、Linux 和 Mac 内存中的恶意软件和威胁。 - [The Practice of Network Security Monitoring](https://nostarch.com/nsm) - 了解事件检测和响应。 ### 文件系统语料库 - [Digital Forensic Challenge Images](https://www.ashemery.com/dfir.html) - 两个带有镜像的 DFIR 挑战。 - [Digital Forensics Tool Testing Images](https://sourceforge.net/projects/dftt/) ### 其他 - [/r/computerforensics/](https://www.reddit.com/r/computerforensics/) - 计算机取证的 Subreddit。 - [CybersecurityGuide – Digital Forensics Careers](https://cybersecurityguide.org/careers/digital-forensics/) - 关于网络取证中技能、认证和职业路径的指南。 - [ForensicPosters](https://github.com/Invoke-IR/ForensicPosters) - 文件系统结构海报。 - [SANS Posters](https://www.sans.org/posters) - SANS 提供的免费海报。 ### 实验室 - [BlueTeam.Lab](https://github.com/op7ic/BlueTeam.Lab) - 使用 Terraform 和 Ansible 在 Azure 中创建的蓝队检测实验室。 ## 相关 Awesome 列表 - [Android Security](https://github.com/ashishb/android-security-awesome) - [AppSec](https://github.com/paragonie/awesome-appsec) - [CTFs](https://github.com/apsdehal/awesome-ctf) - [Hacking](https://github.com/carpedm20/awesome-hacking) - [Honeypots](https://github.com/paralax/awesome-honeypots) - [Incident-Response](https://github.com/meirwah/awesome-incident-response) - [Infosec](https://github.com/onlurking/awesome-infosec) - [Malware Analysis](https://github.com/rshipp/awesome-malware-analysis) - [Pentesting](https://github.com/enaqx/awesome-pentest) - [Security](https://github.com/sbilly/awesome-security) - [Social Engineering](https://github.com/giuliacassara/awesome-social-engineering) - [YARAhttps://github.com/InQuest/awesome-yara) ## [贡献](CONTRIBUTING.md) 欢迎提出建议的 Pull request 和 issue！

标签：Awesome List, Docker取证, HTTPS请求, IOC扫描, MFT, NTFS, OS X取证, SecList, Windows取证, 二进制发布, 元数据分析, 内存取证, 取证学习, 取证框架, 实时取证, 工具集合, 开源工具, 数字取证, 文件雕刻, 电子取证, 磁盘取证, 磁盘镜像, 移动取证, 自动化脚本, 解密, 镜像处理, 防御加固, 隐写术