应急响应与数字取证资源清单:DFIR 工具、剧本、证据采集与分析

资源合集
收藏
回帖
1条日志
新手上路 5小时前
主楼
来源:https://github.com/meirwah/awesome-incident-response

这是一份面向安全事件响应和数字取证团队的精选资源清单,覆盖对手模拟、证据采集、磁盘与内存取证、日志分析、事件管理、剧本、知识库、沙箱逆向、IOC 扫描和平台工具等实战入口。

IR 工具集合 / 对手模拟

  • APTSimulator - Windows 批处理脚本使用一组工具和输出文件使系统看起来像是受到了威胁。
  • Atomic Red Team (ART) - 映射到 MITRE ATT&CK 框架的小型且高度便携的检测测试。
  • AutoTTP - 自动化战术技术和程序。手动重新运行复杂序列以进行回归测试、产品评估、为研究人员生成数据。
  • Caldera - 自动对手模拟系统,可在 Windows Enterprise 网络中执行入侵后的对抗行为。它在操作过程中使用规划系统和基于对抗战术、技术和常识 (ATT&CK™) 项目的预配置对手模型生成计划。
  • DumpsterFire - 模块化、菜单驱动、跨平台工具,用于构建可重复、延时、分布式安全事件。轻松创建用于蓝队演习和传感器/警报映射的自定义事件链。红队可以制造诱饵事件、干扰和诱惑来支持和扩大其行动。
  • Metta - 用于进行对抗性模拟的信息安全准备工具。
  • Network Flight Simulator - 用于生成恶意网络流量并帮助安全团队评估安全控制和网络可见性的轻量级实用程序。
  • Red Team Automation (RTA) - RTA 提供了一个脚本框架,旨在允许蓝队测试其针对恶意间谍活动的检测能力,以 MITRE ATT&CK 为模型。
  • RedHunt-OS - 用于对手模拟和威胁追踪的虚拟机。

IR 工具集合 / 一体化工具

  • Belkasoft Evidence Center - 该工具包将通过分析硬盘驱动器、驱动器映像、内存转储、iOS、黑莓和 Android 备份、UFED、JTAG 和芯片转储,快速从多个来源提取数字证据。
  • CimSweep - 基于 CIM/WMI 的工具套件,能够跨所有版本的 Windows 远程执行事件响应和搜寻操作。
  • CIRTkit - CIRTKit 不仅仅是工具的集合,也是一个帮助持续统一事件响应和取证调查流程的框架。
  • Cyber Triage - Cyber​​ Triage 收集并分析主机数据以确定其是否受到损害。它的评分系统和推荐引擎可让您快速关注重要的工件。它可以从其收集工具、磁盘映像和其他收集器(例如 KAPE)导入数据。它可以在审查员的桌面上或服务器模型中运行。由 Sleuth Kit Labs 开发,该实验室还生产尸检。
  • Dissect - Dissect 是一个数字取证和事件响应框架和工具集,可让您快速访问和分析各种磁盘和文件格式的取证文物,由 Fox-IT(NCC 集团的一部分)开发。
  • Doorman - osquery 队列管理器,允许远程管理节点检索的 osquery 配置。它利用 osquery 的 TLS 配置、记录器和分布式读/写端点,以最小的开销和侵入性为管理员提供跨设备群的可见性。
  • Falcon Orchestrator - 可扩展的基于 Windows 的应用程序,提供工作流程自动化、案例管理和安全响应功能。
  • Flare - 完全可定制的、基于 Windows 的安全发行版,用于恶意软件分析、事件响应、渗透测试。
  • Fleetdm - 为安全专家量身定制的最先进的主机监控平台。利用 Facebook 久经考验的 osquery 项目,Fleetdm 提供持续更新、功能和重大问题的快速解答。
  • GRR Rapid Response - 专注于远程实时取证的事件响应框架。它由安装在目标系统上的 python 代理(客户端)和可以管理代理并与代理通信的 python 服务器基础设施组成。除了附带的 Python API 客户端外,PowerGRR 还在 PowerShell 中提供了一个 API 客户端库,可在 Windows、Linux 和 macOS 上运行,以实现 GRR 自动化和脚本编写。
  • IRIS - IRIS 是一个供事件响应分析师使用的网络协作平台,允许在技术层面共享调查结果。
  • Kuiper - 数字取证调查平台。
  • Limacharlie - 端点安全平台由一系列协同工作的小项目组成,为您提供跨平台(Windows、OSX、Linux、Android 和 iOS)低级环境,用于管理附加模块并将其推送到内存中以扩展其功能。
  • Matano - AWS 上的开源无服务器安全湖平台,可让您将 PB 级安全数据摄取、存储和分析到 Apache Iceberg 数据湖中,并以代码形式运行实时 Python 检测。
  • MozDef - 自动化安全事件处理流程并促进事件处理程序的实时活动。
  • MutableSecurity - 用于自动设置、配置和使用网络安全解决方案的 CLI 程序。
  • nightHawk - 使用 ElasticSearch 作为后端为异步取证数据呈现构建的应用程序。它旨在摄取 Redline 集合。
  • Open Computer Forensics Architecture - 另一个流行的分布式开源计算机取证框架。该框架建立在Linux平台上,使用postgreSQL数据库来存储数据。
  • osquery - 使用类似 SQL 的查询语言轻松询问有关 Linux 和 macOS 基础设施的问题;提供的*事件响应包*可帮助您检测和响应违规行为。
  • Redline - 为用户提供主机调查功能,以通过内存和文件分析以及威胁评估配置文件的开发来查找恶意活动的迹象。
  • SOC Multi-tool - 功能强大且用户友好的浏览器扩展程序,可简化安全专业人员的调查。
  • The Sleuth Kit & Autopsy - 基于 Unix 和 Windows 的工具,有助于对计算机进行取证分析。它配备了有助于数字取证的各种工具。这些工具有助于分析磁盘映像、对文件系统进行深入分析以及各种其他操作。
  • TheHive - 可扩展的三合一开源免费解决方案,旨在让 SOC、CSIRT、CERT 以及任何处理需要快速调查和采取行动的安全事件的信息安全从业人员的工作变得更加轻松。
  • Velociraptor - 端点可见性和收集工具。
  • X-Ways Forensics - 用于磁盘克隆和成像的取证工具。它可用于查找已删除的文件和磁盘分析。
  • Zentral - 将 osquery 强大的端点清单功能与灵活的通知和操作框架相结合。这使得人们能够识别 OS X 和 Linux 客户端上的更改并做出反应。

IR 工具集合 / 书籍

IR 工具集合 / 社区

  • Digital Forensics Discord Server - 由来自执法部门、私营部门和法医供应商的 8,000 多名专业人士组成的社区。此外,还有很多学生和爱好者!指南在这里。
  • Slack DFIR channel - Slack DFIR 社区频道 - 在此注册。

IR 工具集合 / 磁盘镜像制作工具

  • AccessData FTK Imager - 取证工具,其主要目的是预览任何类型磁盘中的可恢复数据。 FTK Imager 还可以获取 32 位和 64 位系统上的实时内存和分页文件。
  • Bitscout - Vitaly Kamluk 的 Bitscout 可帮助您构建完全可信的可定制 LiveCD/LiveUSB 映像,用于远程数字取证(或您选择的任何其他任务)。它应该是透明的、可由系统所有者监控、取证合理、可定制且紧凑。
  • GetData Forensic Imager - 基于 Windows 的程序,将获取、转换或验证以下常见取证文件格式之一的取证图像。
  • Guymager - 用于 Linux 上媒体采集的免费取证成像仪。
  • Magnet ACQUIRE - ACQUIRE by Magnet Forensics 允许在 Windows、Linux 和 OS X 以及移动操作系统上执行各种类型的磁盘采集。

IR 工具集合 / 证据采集

  • Acquire - Acquire 是一种工具,可将磁盘映像或实时系统中的取证工件快速收集到轻量级容器中。这使得 Acquire 成为一个出色的工具,可以加速数字取证分类的过程。如果可能的话,它使用 Dissect 从原始磁盘收集该信息。
  • artifactcollector - artifactcollector 项目提供了一个在系统上收集取证工件的软件。
  • bulk_extractor - 计算机取证工具,可扫描磁盘映像、文件或文件目录并提取有用信息,而无需解析文件系统或文件系统结构。由于忽略了文件系统结构,该程序在速度和彻底性方面脱颖而出。
  • Cold Disk Quick Response - 简化的解析器列表,可快速分析取证图像文件(dd、E01、.vmdk 等)并输出九份报告。
  • CyLR - CyLR 工具快速、安全地从具有 NTFS 文件系统的主机收集取证工件,并最大限度地减少对主机的影响。
  • Forensic Artifacts - 数字取证工件存储库。
  • ir-rescue - Windows Batch 脚本和 Unix Bash 脚本可在事件响应期间全面收集主机取证数据。
  • Live Response Collection - 从 Windows、OSX 和基于 *nix 的操作系统收集易失性数据的自动化工具。
  • Margarita Shotgun - 用于并行化远程内存获取的命令行实用程序(无论是否使用 Amazon EC2 实例)。
  • SPECTR3 - 通过便携式 iSCSI 只读访问获取、分类和调查远程证据。
  • UAC - UAC(类 Unix 工件收集器)是用于事件响应的实时响应收集脚本,它利用本机二进制文件和工具来自动收集 AIX、Android、ESXi、FreeBSD、Linux、macOS、NetBSD、NetScaler、OpenBSD 和 Solaris 系统工件。

IR 工具集合 / 事件管理

  • Catalyst - 免费的 SOAR 系统,有助于自动化警报处理和事件响应流程。
  • CyberCPR - 内置“需要知道”的社区和商业事件管理工具,可在处理敏感事件时支持 GDPR 合规性。
  • Cyphon - Cyphon 通过单一平台简化大量相关任务,消除了事件管理的难题。它接收、处理和分类事件,为您的分析工作流程提供全面的解决方案 - 聚合数据、捆绑警报并确定其优先级,并使分析师能够调查和记录事件。
  • CORTEX XSOAR - Paloalto 安全编排、自动化和响应平台,具有完整的事件生命周期管理和许多集成以增强自动化。
  • DFTimewolf - 用于协调取证收集、处理和数据导出的框架。
  • DFIRTrack - 事件响应跟踪应用程序通过具有大量受影响系统和工件的案例和任务处理一个或多个事件。
  • Fast Incident Response (FIR) - 网络安全事件管理平台的设计考虑了敏捷性和速度。它可以轻松创建、跟踪和报告网络安全事件,对于 CSIRT、CERT 和 SOC 等都很有用。
  • RTIR - 事件响应请求跟踪器 (RTIR) 是面向计算机安全团队的首要开源事件处理系统。我们与世界各地的十多个 CERT 和 CSIRT 团队合作,帮助您处理不断增加的事件报告量。 RTIR 建立在 Request Tracker 的所有功能之上。
  • Sandia Cyber Omni Tracker (SCOT) - 事件响应协作和知识捕获工具注重灵活性和易用性。我们的目标是在不增加用户负担的情况下为事件响应流程增加价值。
  • Shuffle - 专注于可访问性的通用安全自动化平台。
  • threat_note - 轻量级调查笔记本,使安全研究人员能够注册和检索与其研究相关的指标。
  • Zenduty - Zenduty 是一个新颖的事件管理平台,提供端到端事件警报、待命管理和响应编排,使团队能够更好地控制和自动化事件管理生命周期。

IR 工具集合 / 知识库

IR 工具集合 / Linux 发行版

  • The Appliance for Digital Investigation and Analysis (ADIA) - 基于 VMware 的设备用于数字调查和采集,完全由公共领域软件构建。 ADIA 中包含的工具包括 Autopsy、Sleuth Kit、Digital Forensics Framework、log2timeline、Xplico 和 Wireshark。大部分系统维护使用Webmin。它专为中小型数字调查和收购而设计。该设备在 Linux、Windows 和 Mac OS 下运行。 i386(32 位)和 x86_64(64 位)版本均可用。
  • Computer Aided Investigative Environment (CAINE) - 包含许多可帮助调查人员进行分析的工具,包括法医证据收集。
  • CCF-VM - CyLR CDQR 取证虚拟机 (CCF-VM):一种用于解析收集数据的一体化解决方案,可通过内置的通用搜索轻松搜索数据,支持同时搜索单个和多个主机。
  • NST - Network Security Toolkit - Linux 发行版包含大量对网络安全专业人士有用的最佳开源网络安全应用程序。
  • NullSec Linux - 以安全为中心的 Linux 发行版,具有 140 多个预装的取证和攻击性安全工具、定制强化内核以及集成的事件响应工作流程。
  • PALADIN - 修改了 Linux 发行版,以合理的取证方式执行各种取证任务。它附带了许多开源取证工具。
  • Security Onion - 针对网络安全监控的特殊 Linux 发行版,具有先进的分析工具。
  • SANS Investigative Forensic Toolkit (SIFT) Workstation - 证明可以使用免费提供且经常更新的尖端开源工具来实现先进的事件响应能力和针对入侵的深入数字取证技术。

IR 工具集合 / Linux 证据采集

  • FastIR Collector Linux - FastIR for Linux 收集实时 Linux 上的不同工件并将结果记录在 CSV 文件中。
  • MAGNET DumpIt - 用 Rust 编写的 Linux 快速内存获取开源工具。生成 Linux 机器的完整内存崩溃转储。

IR 工具集合 / 日志分析工具

  • AppCompatProcessor - AppCompatProcessor 旨在从企业范围的 AppCompat / AmCache 数据中提取超出经典堆栈和 grep 技术的附加价值。
  • APT Hunter - APT-Hunter 是 Windows 事件日志的威胁狩猎工具。
  • Chainsaw - Chainsaw 提供强大的“第一响应”功能,可快速识别 Windows 事件日志中的威胁。
  • Event Log Explorer - 开发用于快速分析日志文件和其他数据的工具。
  • Event Log Observer - 使用此 GUI 工具查看、分析和监控 Microsoft Windows 事件日志中记录的事件。
  • Hayabusa - Hayabusa 是由日本 Yamato 安全小组创建的 Windows 事件日志快速取证时间线生成器和威胁搜寻工具。
  • Kaspersky CyberTrace - 威胁情报融合和分析工具,将威胁数据源与 SIEM 解决方案集成。用户可以立即利用威胁情报在现有安全操作的工作流程中进行安全监控和事件报告 (IR) 活动。
  • Log Parser Lizard - 针对结构化日志数据执行 SQL 查询:服务器日志、Windows 事件、文件系统、Active Directory、log4net 日志、逗号/制表符分隔文本、XML 或 JSON 文件。还为 Microsoft LogParser 2.2 提供了一个 GUI,具有强大的 UI 元素:语法编辑器、数据网格、图表、数据透视表、仪表板、查询管理器等。
  • Lorg - 用于高级 HTTPD 日志文件安全分析和取证的工具。
  • Logdissect - 用于分析日志文件和其他数据的 CLI 实用程序和 Python API。
  • NullSec LogReaper - 高速日志分析和取证工具,具有多格式解析、模式匹配、时间线重建和事件响应异常检测功能。
  • LogonTracer - 通过可视化和分析 Windows 事件日志来调查恶意 Windows 登录的工具。
  • Sigma - SIEM 系统的通用签名格式已包含广泛的规则集。
  • StreamAlert - 无服务器、实时日志数据分析框架,能够摄取自定义数据源并使用用户定义的逻辑触发警报。
  • SysmonSearch - SysmonSearch 通过聚合事件日志使 Windows 事件日志分析更加有效且耗时更少。
  • WELA - Windows 事件日志分析器旨在成为 Windows 事件日志的瑞士军刀。
  • Zircolite - 基于 SIGMA 的独立快速 EVTX 或 JSON 检测工具。

IR 工具集合 / 内存分析工具

  • AVML - Linux下的便携式易失性内存采集工具。
  • Evolve - 波动性内存取证框架的 Web 界面。
  • inVtero.net - 具有嵌套虚拟机管理程序支持的 Windows x64 高级内存分析。
  • LiME - 可加载内核模块 (LKM),允许从 Linux 和基于 Linux 的设备获取易失性内存,以前称为 DMD。
  • MalConfScan - MalConfScan 是一个 Volatility 插件,可提取已知恶意软件的配置数据。 Volatility 是一个用于事件响应和恶意软件分析的开源内存取证框架。该工具在内存映像中搜索恶意软件并转储配置数据。此外,该工具还具有列出恶意代码引用的字符串的功能。
  • Memoryze - 免费的内存取证软件,可帮助事件响应人员发现实时内存中的邪恶。 Memoryze 可以获取和/或分析内存映像,并且在实时系统上,可以将分页文件包含在其分析中。
  • Memoryze for Mac - 适用于 Mac 的 Memoryze 是 Memoryze,但适用于 Mac。但功能数量较少。
  • Orochi - Orochi 是一个用于协作取证内存转储分析的开源框架。
  • Rekall - 用于从易失性存储器 (RAM) 样本中提取数字工件的开源工具(和库)。
  • Volatility - 高级内存取证框架。
  • Volatility 3 - 易失性内存提取框架(Volatility 的后继者)。
  • VolatilityBot - 研究人员的自动化工具消除了二进制提取阶段的所有猜测和手动任务,或帮助研究人员执行内存分析调查的第一步。
  • VolDiff - 基于波动性的恶意软件内存足迹分析。
  • WindowsSCOPE - 用于分析易失性内存的内存取证和逆向工程工具,提供分析 Windows 内核、驱动程序、DLL 以及虚拟和物理内存的功能。

IR 工具集合 / 内存镜像工具

  • Belkasoft Live RAM Capturer - 小型免费取证工具,即使受到主动反调试或反倾销系统的保护,也能可靠地提取计算机易失性存储器的全部内容。
  • Linux Memory Grabber - 用于转储 Linux 内存并创建波动性配置文件的脚本。
  • MAGNET DumpIt - 适用于 Windows(x86、x64、ARM64)的快速内存获取工具。生成 Windows 机器的完整内存崩溃转储。
  • Magnet RAM Capture - 免费成像工具,旨在捕获嫌疑人计算机的物理内存。支持最新版本的 Windows。
  • OSForensics - 用于获取 32 位和 64 位系统上的实时内存的工具。可以转储单个进程的内存空间或物理内存转储。

IR 工具集合 / macOS 证据采集

  • Knockknock - 显示设置为在 OSX 上自动执行的持久项目(脚本、命令、二进制文件等)。
  • macOS Artifact Parsing Tool (mac_apt) - 基于插件的取证框架,用于快速 mac 分类,适用于实时计算机、磁盘映像或单个工件文件。
  • OSX Auditor - 免费的 Mac OS X 计算机取证工具。
  • OSX Collector - 用于实时响应的 OSX Auditor 分支。
  • The ESF Playground - 实时查看 Apple Endpoint Security Framework (ESF) 中的事件的工具。

IR 工具集合 / 其他清单

IR 工具集合 / 其他工具

  • Cortex - Cortex 允许您使用 Web 界面一一或批量模式分析 IP 和电子邮件地址、URL、域名、文件或哈希值等可观察数据。分析师还可以使用其 REST API 自动执行这些操作。
  • Crits - 基于网络的工具,将分析引擎与网络威胁数据库相结合。
  • Diffy - 由 Netflix 的 SIRT 开发的 DFIR 工具,允许调查人员在事件期间快速确定跨云实例(目前 AWS 上的 Linux 实例)的妥协范围,并通过显示与基线的差异来有效地对这些实例进行后续操作分类。
  • domfind - Python DNS 爬虫用于查找不同 TLD 下的相同域名。
  • Fileintel - 每个文件哈希提取情报。
  • HELK - 威胁狩猎平台。
  • Hindsight - Google Chrome/Chromium 的互联网历史取证。
  • Hostintel - 每个主机拉取情报。
  • IPASIS - 用于调查可疑交互的实时 IP 信誉和电子邮件验证 API。在单个 API 调用中返回将 VPN/代理/Tor 检测与电子邮件风险评估相结合的交互信任评分 (0-100)。
  • imagemounter - 命令行实用程序和 Python 包可简化取证磁盘映像的安装(卸载)。
  • Kansa - PowerShell 中的模块化事件响应框架。
  • MFT Browser - MFT目录树重构&记录信息。
  • Munin - VirusTotal 和其他服务的在线哈希检查器。
  • PowerSponse - PowerSponse 是一个 PowerShell 模块,专注于安全事件响应期间的有针对性的遏制和修复。
  • PyaraScanner - 非常简单的多线程多规则到多文件 YARA 扫描恶意软件动物园和 IR 的 Python 脚本。
  • rastrea2r - 允许在 Windows、Linux 和 OS X 上使用 YARA 扫描磁盘和内存中的 IOC。
  • RaQet - 非常规的远程采集和分类工具,允许对使用专门构建的取证操作系统重新启动的远程计算机(客户端)的磁盘进行分类。
  • Raccine - 简单的勒索软件保护。
  • Stalk - 当问题发生时收集有关 MySQL 的取证数据。
  • Scout2 - 安全工具,可让 Amazon Web Services 管理员评估其环境的安全状况。
  • Stenographer - 数据包捕获解决方案旨在快速将所有数据包假脱机到磁盘,然后提供对这些数据包子集的简单、快速访问。它存储尽可能多的历史记录,管理磁盘使用情况,并在达到磁盘限制时删除。它非常适合在事件发生之前和期间捕获流量,无需明确需要存储所有网络流量。
  • sqhunter - 基于 osquery 和 Salt Open (SaltStack) 的威胁猎手,可以发出临时或分布式查询,而不需要 osquery 的 tls 插件。 sqhunter 允许您查询开放的网络套接字并根据威胁情报源检查它们。
  • sysmon-config - 具有默认高质量事件跟踪的 Sysmon 配置文件模板。
  • sysmon-modular - sysmon 配置模块的存储库。
  • traceroute-circl - 扩展跟踪路由以支持 CSIRT(或 CERT)操作员的活动。通常,CSIRT 团队必须根据收到的 IP 地址来处理事件。由卢森堡计算机应急响应中心创建。
  • X-Ray 2.0 - 用于向 AV 供应商提交病毒样本的 Windows 实用程序(维护不良或不再维护)。

IR 工具集合 / 响应剧本

IR 工具集合 / 进程转储工具

  • Microsoft ProcDump - 即时转储任何正在运行的 Win32 进程内存映像。
  • PMDump - 允许您将进程的内存内容转储到文件而不停止进程的工具。

IR 工具集合 / 沙箱与逆向工具

  • Any Run - 交互式在线恶意软件分析服务,可在任何环境下对大多数类型的威胁进行动态和静态研究。
  • CAPA - 检测可执行文件中的功能。您针对 PE、ELF、.NET 模块或 shellcode 文件运行它,它会告诉您它认为该程序可以做什么。
  • CAPEv2 - 恶意软件配置和有效负载提取。
  • Cuckoo - 开源高度可配置的沙箱工具。
  • Cuckoo-modified - 社区开发的经过大幅修改的 Cuckoo fork。
  • Cuckoo-modified-api - 用于控制经过 Cuckoo 修改的沙箱的 Python 库。
  • Cutter - 由 rizin 提供支持的免费开源逆向工程平台。
  • Ghidra - 软件逆向工程框架。
  • Hybrid-Analysis - 由 CrowdStrike 提供的免费、强大的在线沙箱。
  • Intezer - Intezer Analytics 深入研究 Windows 二进制文件以检测与已知威胁的微代码相似性,以提供准确且易于理解的结果。
  • Joe Sandbox (Community) - Joe Sandbox 检测并分析 Windows、Android、Mac OS、Linux 和 iOS 上的潜在恶意文件和 URL 是否存在可疑活动;提供全面详细的分析报告。
  • Mastiff - 静态分析框架,可自动执行从多种不同文件格式中提取关键特征的过程。
  • Metadefender Cloud - 免费威胁情报平台,提供文件的多重扫描、数据清理和漏洞评估。
  • Radare2 - 逆向工程框架和命令行工具集。
  • Reverse.IT - CrowdStrike 提供的混合分析工具的替代域。
  • Rizin - 类 UNIX 逆向工程框架和命令行工具集。
  • StringSifter - 一种机器学习工具,根据字符串与恶意软件分析的相关性对字符串进行排名。
  • Threat.Zone - 基于云的威胁分析平台,包括沙箱、CDR 和研究人员的交互式分析。
  • Valkyrie Comodo - Valkyrie 使用运行时行为和文件中的数百个功能来执行分析。
  • Viper - 基于Python的二进制分析和管理框架,与Cuckoo和YARA配合良好。
  • Virustotal - 免费在线服务,可分析文件和 URL,识别病毒、蠕虫、特洛伊木马以及防病毒引擎和网站扫描程序检测到的其他类型的恶意内容。
  • Visualize_Logs - 开源可视化库和日志命令行工具(Cuckoo、Procmon 等)。
  • Yomi - 由 Yoroi 管理和托管的免费 MultiSandbox。

IR 工具集合 / 扫描工具

  • Fenrir - 简单的 IOC 扫描仪。它允许在普通 bash 中扫描任何 Linux/Unix/OSX 系统的 IOC。由《雷神》和《洛基》的创作者创建。
  • LOKI - 免费红外扫描仪,用于使用 yara 规则和其他指标(IOC)扫描端点。
  • Spyre - 用 Go 编写的简单的基于 YARA 的 IOC 扫描器。

IR 工具集合 / 时间线工具

  • Aurora Incident Response - 开发平台可轻松构建事件的详细时间表。
  • Highlighter - Fire/Mandiant 提供的免费工具将描述日志/文本文件,可以突出显示图形上与关键字或短语相对应的区域。有助于确定感染的时间以及妥协后所做的事情。
  • Morgue - Etsy 用于管理事后分析的 PHP Web 应用程序。
  • Plaso - 用于 log2timeline 工具的基于 Python 的后端引擎。
  • Timesketch - 用于协作取证时间线分析的开源工具。

IR 工具集合 / 视频

IR 工具集合 / Windows 证据采集

  • AChoir - 框架/脚本工具,用于标准化和简化 Windows 实时采集实用程序脚本编写过程。
  • Crowd Response - 轻量级 Windows 控制台应用程序,旨在帮助收集系统信息以进行事件响应和安全活动。它具有众多模块和输出格式。
  • Cyber Triage - Cyber​​ Triage 有一个免费使用的轻量级收集工具。它收集源文件(例如注册表配置单元和事件日志),但也在实时主机上解析它们,以便它还可以收集启动项、计划、任务等引用的可执行文件。它的输出是一个 JSON 文件,可以导入到免费版本的 Cyber​​ Triage 中。 Cyber​​ Triage 由 Sleuth Kit Labs 制作,该公司还制作 Autopsy。
  • DFIR ORC - DFIR ORC 是专门工具的集合,专用于可靠地解析和收集关键工件,例如 MFT、注册表配置单元或事件日志。 DFIR ORC 收集数据,但不分析数据:它的目的不是对机器进行分类。它提供运行 Microsoft Windows 的计算机的取证相关快照。代码可以在 GitHub 上找到。
  • FastIR Collector - 用于收集实时 Windows 系统上的不同工件并将结果记录在 csv 文件中的工具。通过对这些工件的分析,可以检测到早期的妥协。
  • Fibratus - 用于探索和跟踪 Windows 内核的工具。
  • Hoarder - 收集最有价值的文物用于取证或事件响应调查。
  • IREC - 一体化 IR 证据收集器,可捕获 RAM 映像、$MFT、事件日志、WMI 脚本、注册表配置单元、系统还原点等。它是免费的、快如闪电且易于使用。
  • Invoke-LiveResponse - Invoke-LiveResponse是一个用于定向收集的实时响应工具。
  • IOC Finder - Mandiant 提供的免费工具,用于收集主机系统数据并报告妥协指标 (IOC) 的存在。仅支持 Windows。不再维护。仅完全支持 Windows 7 / Windows Server 2008 R2。
  • IRTriage - 事件响应分类 - 用于取证分析的 Windows 证据收集。
  • KAPE - Eric Zimmerman 的 Kroll Artifact 解析器和提取器 (KAPE)。一种分类工具,可以找到最流行的数字工件,然后快速解析它们。当时间紧迫时,伟大而彻底。
  • LOKI - 免费红外扫描仪,用于使用 yara 规则和其他指标(IOC)扫描端点。
  • MEERKAT - 基于 PowerShell 的 Windows 分类和威胁搜寻。
  • Panorama - 实时 Windows 系统上的快速事件概述。
  • PowerForensics - Live磁盘取证平台,使用PowerShell。
  • PSRecon - PSRecon 使用 PowerShell(v2 或更高版本)从远程 Windows 主机收集数据,将数据组织到文件夹中,对所有提取的数据进行哈希处理,对 PowerShell 和各种系统属性进行哈希处理,然后将数据发送给安全团队。数据可以推送到共享、通过电子邮件发送或保留在本地。
  • RegRipper - 用 Perl 编写的开源工具,用于从注册表中提取/解析信息(键、值、数据)并将其呈现以供分析。
回复 点赞 举报
😀 😊 😵‍💫 😡 🤝 🙏 👍 👎 ❤️