CachedChaos/ECHO

GitHub: CachedChaos/ECHO

ECHO 是一个基于 PowerShell 的数字取证与事件响应编排工具,整合了多种开源 DFIR 工具以实现从案例管理、证据收集到分析与同步的一体化调查工作流。

Stars: 3 | Forks: 1

# ECHO 用户指南 **ECHO (Evidence Collection & Handling Orchestrator)** 是一个基于 PowerShell 的数字取证与事件响应 (DFIR) 程序,旨在辅助案例管理以及取证数据的收集和处理。 ## 程序概述 ECHO 在各个选项卡中提供了一套全面的工具和功能,每个选项卡都专用于数字取证过程中的特定功能。 - **集成开源工具:** 直接在程序中利用一套著名的 DFIR 工具。所有工具均可从与程序可执行文件同目录的 `Tools` 文件夹中访问。 - **便捷的工具管理:** 通过“Tool Management”选项卡轻松下载和更新必要的开源工具。*注意:部分工具需要 Python 作为前置条件。* - **有条理的案例管理:** 程序启动时,会在同一目录下生成一个 `cases.csv` 文件,用于记录案例文件夹和日志数据。 - **用户友好的界面:** 设计充分考虑了用户体验,确保导航和操作简便。 - **全面的案例追踪:** 所有活动和处理的证据都会被细致地保存在每个案例文件夹中,以实现无缝的案例管理。 - **灵活性与控制力:** 轻松打开、创建、导入或删除案例,让您对案例数据拥有完全的控制权。 ![ECHO Home 选项卡截图](https://static.pigsec.cn/wp-content/uploads/repos/cas/ae/aed66df5adf49039780c9b5194b46662c69e71e98bc2437bf41aedc32ec9e468.png) ## 入门指南 您可以将 ECHO 作为 PowerShell 脚本或编译后的可执行文件运行: ### 选项 1:作为 PowerShell 脚本运行 1. 克隆或下载此仓库。 2. 打开 PowerShell 并导航至项目目录。 3. 运行以下命令: .\_EchoMain.ps1 *(如果您使用合并脚本,则运行 `ECHO_combined.ps1`。)* ### 选项 2:作为编译后的可执行文件运行 如果您已经下载或构建了独立可执行文件 (`ECHO.exe`): 1. 在您的构建/输出文件夹中找到 `ECHO.exe`。 2. 双击启动,或在 PowerShell/cmd 中运行: .\ECHO.exe **环境要求:** - Windows 10/11 - PowerShell 5.1 或更高版本(适用于脚本版本) - **.NET Runtime** - .NET Framework 4.5+(适用于旧版组件) - **.NET 9 Runtime(Zimmerman Tools 必需)** ## 选项卡概述 ### Home 选项卡 - **详细的选项卡概述:** 通过下拉菜单了解各个选项卡的信息。 ### Case Management 选项卡 Case Management 选项卡简化了您的数字取证调查工作流。主要功能包括: - **创建新案例:** 输入案例名称并选择存储目录。程序会为您的案例创建一个专用文件夹,并附带一个用于记录活动轨迹的追踪文件 (`.txt`)。 - **管理现有案例:** 通过“Existing Cases”下拉菜单访问和管理正在进行的调查。您可以打开或删除案例(删除会将其从程序的记录中移除,但**不会**删除实际文件夹)。 - **导入案例:** 通过导入 `.txt` 文件将外部案例整合到程序中。 ### Collect and Process Memory 选项卡 捕获并分析内存数据——这对数字取证至关重要。 - **使用 WinPmem 捕获内存:** 设置 WinPmem 可执行文件的路径,快速捕获内存镜像。 - **使用 Volatility 3 处理:** 选择已捕获的内存文件,指定 OS 类型,并选择 Volatility 插件进行分析。根据需要定义 Volatility 可执行文件的路径。 ### Collect Disk Image 选项卡 用于使用 FTK Imager 创建取证磁盘镜像。 - **显示并选择驱动器:** 点击“Display Drive(s) List”以查看并选择一个或多个需要制作镜像的驱动器。 - **集成 FTK Imager:** 使用 FTK Imager 进行可靠的磁盘镜像制作。如果未自动检测到,请手动配置 FTK 可执行文件。 - **创建磁盘镜像:** 点击“Collect Selected Drives”按钮开始制作镜像。 ### Collect M365 Logs 选项卡 为取证调查收集 Microsoft 365 日志。 - **连接并测试客户端连接:** 连接到 Microsoft 365 租户并验证连通性。 - **自定义日志收集:** 指定自定义 IP 或用户名,或使用默认的排查参数。 - **选择性日志收集:** 选择日志类型,例如统一审计日志、邮箱审计日志、管理员日志等,并为每种类型配置特定参数。 ### Collect Packet Capture 选项卡 使用 Windows 内置工具捕获网络数据包。 - **Netsh Trace:** 使用 `netsh trace` 捕获网络数据包,无需额外软件。 - **捕获时长控制:** 设置数据包捕获时长(默认:5 分钟)。 - **将 ETL 转换为 PCAP:** 将捕获的 ETL 文件转换为 PCAP 格式以便分析。 - **提取 CAB 文件:** 提取 CAB 文件的内容以进行更深入的审查。 ### Collect System Artifacts 选项卡 利用 Velociraptor 收集关键系统数据以进行分析。 - **设置和卷选择:** 选择要收集数据的卷和目标。 - **目标选择:** 从工件目标列表中进行选择,或重置为默认值 (SANS_Triage)。 - **高级选项:** 可选择包含卷影副本。 - **集成 Velociraptor:** 高效收集系统工件。根据需要指定 Velociraptor 可执行文件。 ### Elastic Search 选项卡 使用 Kibana 和预置查询搜索 Elastic。 - **Kibana URL 和 Index 名称:** 输入您的 Kibana 实例 URL 和目标 index。 - **搜索选择:** 从多种搜索中选择,或使用自定义 IOC。 - **打开 CustomIOCs.txt:** 编辑您的自定义 IOC 列表。 - **启动搜索:** 在默认浏览器中打开结果。 ### Evidence Sync 选项卡 将证据上传到分析和可视化平台。 - **平台集成:** 与 Timesketch、Splunk、Elastic 等建立连接。 - **文件和文件夹同步:** 直接从案例目录中选择并上传文件/文件夹。 - **可配置参数:** 为每个平台自定义同步设置。 - **连接测试和 Index 管理:** 测试平台连通性并管理 index 设置。 **Timesketch 具体细节:** 配置服务器 URL、凭据以及用于时间线同步的 sketch 详情。 ### Process System Artifacts 选项卡 使用各种取证工具处理系统工件。 - **工具选择:** 使用 BulkExtractor、Zimmerman Tools、Plaso Timeline 等。 - **处理选项:** 分析工件、解压归档文件或执行 IP 地理定位。 - **高级功能:** 检查 VirusTotal、规范化数据、导出具有自定义日期范围/IOC 的 CSV。 ### Threat Scanners 选项卡 使用 ClamAV 和 Loki 扫描恶意软件和漏洞。 - **灵活的文件/文件夹扫描:** 选择要扫描的文件或文件夹。 - **集成 ClamAV 和 Loki:** 检测病毒、IOC 等。 - **可自定义的扫描:** 启用进程扫描或漏洞检查等选项。 - **输出与报告:** 扫描结果保存在 `ProcessedArtifacts` 文件夹中。 ### Tool Management 选项卡 在程序内管理和更新 DFIR 工具。 - **选择与管理:** 通过下拉菜单进行集中式工具管理。 - **下载/更新工具:** 让您的取证工具保持最新状态。 - **支持的工具有:** 7zip、BulkExtractor、etl2pcapng、FTK Imager 等。 ## 结论 ECHO 是一款多功能的 DFIR 工具,旨在促进高效、有条理的取证调查。GUI 中的每个选项卡都提供了特定的功能,以增强数字取证工作流。 “本项目仅供教育和 DFIR 专业人士使用。使用风险自负。对于任何误用或数据丢失,作者概不负责。”
标签:AI合规, IPv6, Libemu, OpenCanary, PowerShell, 域渗透, 多人体追踪, 库, 应急响应, 数字取证, 案件管理, 电子数据取证, 自动化脚本, 逆向工具