目录导航

这个 github 存储库包含65种工具和资源的集合，可用于蓝队活动(溯源,防守,取证)。

一些工具可能是专门为蓝队设计的，而其他工具则更通用，可以适应蓝队环境。

🔗如果您是红队队员，请查看RedTeam-Tools

警告

此存储库中的材料仅供参考和教育目的。它们不打算用于任何非法活动。

工具清单

蓝队技巧-4个技巧

使用 Process Hacker @embee_research提取有效载荷
通过双击默认应用程序 GPO 更改防止脚本执行
使用代理日志检测 Cryptojacking 恶意软件Dave Mckay
删除 CyberChef 恶意软件分析中的空字节@Securityinbits

网络探测和发现-6个工具

Nmap网络扫描仪
nuclei漏洞扫描器
Masscan快速网络扫描仪
Angry IP Scanner IP/端口扫描器
ZMap大型网络扫描仪
Shodan面向互联网的资产搜索引擎

漏洞管理-4种工具

OpenVAS开源漏洞扫描器
Nessus Essentials漏洞扫描器
Nexpose漏洞管理工具
HackerOne漏洞赏金管理平台

安全监控-10个工具

适用于 Windows 的Sysmon系统监视器
Kibana数据可视化和探索
Logstash数据收集和处理
parsedmarc Email DMARC 数据可视化
使用 Certstream 的网络钓鱼捕手
maltrail恶意流量检测系统
AutorunsToWinEventLog Windows 自动运行事件分析器
procfilter YARA 集成进程拒绝框架
velociraptor可见性和收集工具
SysmonSearch Sysmon 事件日志可视化

威胁工具和技术-11个工具

lolbas-project.github.io Living Off The Land Windows 二进制文件
gtfobins.github.io Living Off The Land Linux 二进制文件
filesec.io攻击者文件扩展名
KQL SearchKQL 查询聚合器
Unprotect Project恶意软件规避技术知识库
chainsaw快速 Windows 取证文物搜索器
freq域生成算法恶意软件检测
yarGen YARA 规则生成器
EmailAnalyzer可疑邮件分析器
VCG Code安全扫描工具
CyberChef GCHQ 在线数据操作平台

威胁情报-4个工具

Maltego威胁情报平台
MISP恶意软件信息共享平台
ThreatConnect威胁数据聚合
Adversary Emulation Library一个开放的对手仿真计划库

事件响应计划-5种工具

NIST网络安全框架
事件响应的事件响应计划框架
用于勒索软件响应的勒索软件响应计划框架
事件响应参考指南事件准备指导文件
Awesome Incident Response事件响应工具列表

恶意软件检测和分析-11 种工具

VirusTotal恶意 IOC 共享平台
IDA恶意软件反汇编器和调试器
Ghidra恶意软件逆向工程工具
decode-vbe编码的 VBE 脚本解码器
pafish虚拟机沙盒检测器
lookyloo钓鱼域名映射
通过模式匹配识别YARA恶意软件
Cuckoo Sandbox恶意软件分析沙箱
Radare2逆向工程框架
dnSpy .NET 调试器和汇编编辑器
malware-traffic-analysis.net恶意软件和数据包捕获示例

数据恢复-3个工具

Recuva文件恢复
Extundelete Ext3 或 ext4 分区恢复
TestDisk数据恢复

数字取证-3个工具

SANS SIFT取证工具包
The Sleuth Kit Disk 图像分析工具
Autopsy数字取证平台

安全意识培训-3个工具

TryHackMe网络安全挑战平台
HackTheBox网络安全挑战平台
PhishMe网络钓鱼培训

沟通与协作-2个工具

Twitter网络安全帐户
Facebook TheatExchange恶意指标分享平台

蓝队技巧

通过一系列 Blue Teaming 技巧向 Blue Teamers 学习。这些技巧涵盖了一系列提高蓝队能力的策略、工具和方法。

使用 Process Hacker 提取有效载荷

描述： ‘恶意软件分析提示 – 使用 Process Hacker 监视新生成的进程中的可疑 .NET 程序集。结合 DnSpy – 无需手动反混淆即可定位和提取恶意负载。

信用： @embee_research

链接： 推特

通过双击防止脚本执行

说明： 在 Windows 上，经常会看到威胁参与者通过伪装成 Microsoft Office 文件的恶意脚本文件实现初始执行。防止此攻击链的一个好方法是将与这些文件（HTA、JS、VBA、VBS）关联的默认应用程序更改为notepad.exe. 现在，当用户被成功诱骗点击磁盘上的 HTA 文件时，它将在记事本中打开脚本并且不会执行。

学分: bluesoul

链接: Blog

使用代理日志检测 Cryptojacking 恶意软件

描述： Cryptojacking 恶意软件变得越来越成熟，挖矿恶意软件利用 DLL 旁加载隐藏在机器上并减少 CPU 负载以保持在检测阈值以下。它们的一个共同点是它们必须与矿池建立连接，这是我们可以找到它们的地方。监控您的代理和 DNS 日志以查找包含常见矿池字符串（例如*xmr.*OR *pool.comOR *pool.orgOR pool.*）的连接。

学分： Dave Mckay

链接： 博客

删除 CyberChef 恶意软件分析中的空字节

描述： ‘在恶意软件分析期间为 Unicode 字符串解码 base64 后，您可能会遇到空字节。通过使用 CyberChef 中的“删除空字节”操作来保持代码的可读性。

图片来源： Ayush Anand

链接： 推特

网络发现和映射

用于扫描和映射网络、发现设备和服务以及识别潜在漏洞的工具。

nmap

Nmap（Network Mapper 的缩写）是一种免费的开源网络扫描工具，用于发现计算机网络上的主机和服务，并探测有关它们特征的信息。

它可用于确定网络上的哪些端口是打开的以及哪些服务正在这些端口上运行。包括识别网络安全漏洞的能力。

安装：

您可以从此处下载最新版本。

用法：

# Scan a single IP
nmap 192.168.1.1

# Scan a range
nmap 192.168.1.1-254

# Scan targets from a file
nmap -iL targets.txt

# Port scan for port 21
nmap 192.168.1.1 -p 21

# Enables OS detection, version detection, script scanning, and traceroute
nmap 192.168.1.1 -A

不错的用法备忘单。

图片来自
nmap-version-scan-determining-the-version-and-available-services

nuclei

一种专门用于自动检测 Web 应用程序、网络和基础设施中漏洞的过程的工具。

Nuclei 使用预定义的模板来探测目标并识别潜在的漏洞。它可用于测试单个主机或一系列主机，并可配置为运行各种测试以检查不同类型的漏洞。

安装：

git clone https://github.com/projectdiscovery/nuclei.git; \
cd nuclei/v2/cmd/nuclei; \
go build; \
mv nuclei /usr/local/bin/; \
nuclei -version;

用法：

# All the templates gets executed from default template installation path.
nuclei -u https://example.com

# Custom template directory or multiple template directory
nuclei -u https://example.com -t cves/ -t exposures/

# Templates can be executed against list of URLs
nuclei -list http_urls.txt

# Excluding single template
nuclei -list urls.txt -t cves/ -exclude-templates cves/2020/CVE-2020-XXXX.yaml

完整的使用信息可以在这里找到。

图片来自https://www.appsecsanta.com/nuclei

masscan

类似于 nmap 的端口扫描器，但速度更快，可以在短时间内扫描大量端口。

Masscan 使用一种称为“SYN 扫描”的新技术来扫描网络，这使得它可以非常快速地扫描大量端口。

安装：（Apt）

sudo apt install masscan

安装：（Git）

sudo apt-get install clang git gcc make libpcap-dev
git clone https://github.com/robertdavidgraham/masscan
cd masscan
make

用法：

# Scan for a selection of ports (-p22,80,445) across a given subnet (192.168.1.0/24)
masscan -p22,80,445 192.168.1.0/24

# Scan a class B subnet for ports 22 through 25
masscan 10.11.0.0/16 -p22-25

# Scan a class B subnet for the top 100 ports at 100,000 packets per second
masscan 10.11.0.0/16 ‐‐top-ports 100 ––rate 100000

# Scan a class B subnet, but avoid the ranges in exclude.txt
masscan 10.11.0.0/16 ‐‐top-ports 100 ‐‐excludefile exclude.txt

图片来自
https://kalilinuxtutorials.com/masscan/

Angry IP Scanner

用于扫描 IP 地址和端口的免费开源工具。

它是一种跨平台工具，旨在快速且易于使用，可以扫描整个网络或 IP 地址范围以查找活动主机。

Angry IP Scanner 还可以检测设备的主机名和 MAC 地址，并可用于执行基本的 ping 扫描和端口扫描。

安装：

您可以从此处下载最新版本。

用法：

Angry IP Scanner 可以通过 GUI 使用。

可以在此处找到完整的使用信息和文档。

图片来自
https://angryip.org/screenshots/

ZMap

ZMap 是一种网络扫描器，旨在对 IPv4 地址空间或其中的大部分进行全面扫描。

在具有千兆以太网连接的典型台式计算机上，ZMap 能够在 45 分钟内扫描整个公共 IPv4 地址空间。

安装：

您可以从此处下载最新版本。

用法：

# Scan only 10.0.0.0/8 and 192.168.0.0/16 on TCP/80
zmap -p 80 10.0.0.0/8 192.168.0.0/16

完整的使用信息可以在这里找到。

图片来自
zmap-for-scanning-the-internet

Shodan

Shodan 是一个用于联网设备的搜索引擎。

它在互联网上搜寻资产，允许用户搜索特定设备并查看有关它们的信息。

此信息可以包括设备的 IP 地址、运行的软件和版本，以及设备的类型。

安装：

可以在
https://www.shodan.io/dashboard
访问搜索引擎。

用法：

Shodan 查询基础知识

Shodan 查询示例

不错的查询备忘单

图片使用自https://www.shodan.io/

漏洞管理

用于识别网络和单个设备上的漏洞、确定优先级和缓解漏洞的工具。

开放增值服务

OpenVAS 是一种开源漏洞扫描器，可帮助识别软件和网络中的安全漏洞。

它是一种可用于执行网络安全评估的工具，通常用于识别系统和应用程序中的漏洞，以便对其进行修补或缓解。

OpenVAS 由 Greenbone Networks 公司开发，可作为免费的开源软件应用程序使用。

安装：（kali）

apt-get update
apt-get dist-upgrade
apt-get install openvas
openvas-setup

用法：

openvas-start

访问https://127.0.0.1:9392，接受 SSL 证书弹出窗口并使用管理员凭据登录：

用户名：admin
密码：（openvas-setup 命令输出中的密码）

图片来自
kali.org/blog/openvas-vulnerability-scanning

Nessus Essentials

Nessus 是一种漏洞扫描程序，可帮助识别和评估网络或计算机系统中存在的漏洞。

它是一种用于执行安全评估的工具，可用于识别系统和应用程序中的漏洞，以便对其进行修补或缓解。

Nessus 由 Tenable, Inc. 开发，提供免费和付费版本：

免费版本称为 Nessus Essentials，仅供个人使用，与付费版本相比功能有限。
付费版本称为 Nessus Professional，功能更全面，适用于专业环境。

安装：

在此处注册 Nessus Essentials 激活码并下载。

从这里购买 Nessus Professional 。

用法：

可在此处找到大量文档。

Nessus 插件搜索

Tenable社区

图片来自https://www.tenable.com

Nexpose

Nexpose是Rapid7开发的漏洞管理工具。它旨在帮助组织识别和评估其系统和应用程序中的漏洞，以降低风险并提高安全性。

Nexpose 可用于扫描网络、设备和应用程序，以识别漏洞并提供补救建议。

它还提供资产发现、风险优先级排序以及与 Rapid7 漏洞管理平台中其他工具的集成等功能。

安装：

有关详细的安装说明，请参见此处。

用法：

有关完整的登录信息，请参见此处。

有关使用和扫描创建说明，请参见此处。

图片来自
rapid7.com/products/neexpose/

HackerOne

HackerOne 是一家漏洞赏金管理公司，可用于为您的企业创建和管理漏洞赏金计划。

漏洞赏金计划是外包外部漏洞评估的好方法，该平台提供私人和公共计划，并具有设置计划范围和参与规则的能力。

HackerOne 还提供对研究人员的外部错误报告的初步分类和管理，并能够直接通过平台对研究人员进行补偿。

图片来自
hackerone.com/product/bug-bounty-platform

安全监控

用于收集和分析安全日志和其他数据源以识别潜在威胁和异常活动的工具。

Sysmon

Sysmon 是一个 Windows 系统监视器，它跟踪系统活动并将其记录到 Windows 事件日志中。

它提供有关系统活动的详细信息，包括进程创建和终止、网络连接以及文件创建时间的更改。

Sysmon 可以配置为监视特定事件或进程，并可用于提醒管理员系统上的可疑活动。

安装：

从这里下载 sysmon 二进制文件。

用法：

# Install with default settings (process images hashed with SHA1 and no network monitoring)
sysmon -accepteula -i

# Install Sysmon with a configuration file (as described below)
sysmon -accepteula -i c:\windows\config.xml

# Uninstall
sysmon -u

# Dump the current configuration
sysmon -c

可以在此处找到完整的事件过滤信息。

可以在此处找到 Microsoft 文档页面。

图片来自
sysmon-5-brings-registry-modification-logging/

Kibana

Kibana 是一个开源的数据可视化和探索工具，通常与 Elasticsearch 结合用于日志分析。

Kibana 提供了一个用户友好的界面，用于搜索、可视化和分析日志数据，这有助于识别可能表明安全威胁的模式和趋势。

Kibana 可用于分析范围广泛的数据源，包括系统日志、网络日志和应用程序日志。它还可用于创建自定义仪表板和警报，以帮助安全团队随时了解潜在威胁并快速响应事件。

安装：

您可以从这里下载 Kibana 。

可以在此处找到安装说明。

用法：（可视化和探索日志数据）

Kibana 提供了一系列可视化工具，可以帮助您识别日志数据中的模式和趋势。您可以使用这些工具来创建显示相关指标和警报的自定义仪表板。

用法：（威胁警报）

Kibana 可以配置为在检测到日志数据中的特定模式或异常时发送警报。您可以设置警报以通知您潜在的安全威胁，例如失败的登录尝试或与已知恶意 IP 地址的网络连接。

关于在 Kibana 中查询和可视化数据的不错的博客。

图片使用自
analysing-honeypot-data-using-kibana-and-elasticsearch

Logstash

Logstash 是一个具有实时流水线功能的开源数据收集引擎。它是一个服务器端数据处理管道，可以同时从多个来源获取数据，对其进行转换，然后将其发送到像 Elasticsearch 这样的“存储库”。

Logstash 有一组丰富的插件，这使得它可以连接到各种来源并以多种方式处理数据。它可以解析和转换日志，将数据转换为结构化格式，或将其发送到另一个工具进行进一步处理。

Logstash 具有快速处理大量数据的能力，是 ELK 堆栈（Elasticsearch、Logstash 和 Kibana）不可或缺的一部分，通常用于集中、转换和监控日志数据。

安装：

从这里下载 logstash 。

用法：

完整的 logstash 文档在这里。

配置示例在这里。

图片来自
elastic.co/guide/en/logstash/current/logstash-modules.html

parsedmarc

用于解析 DMARC 报告的 Python 模块和 CLI 实用程序。

当与 Elasticsearch 和 Kibana（或 Splunk）一起使用时，它可以作为商业 DMARC 报告处理服务（例如 Agari Brand Protection、Dmarcian、OnDMARC、ProofPoint Email Fraud Defense 和 Valimail）的自托管开源替代品。

特征：

解析草稿和 1.0 标准聚合/rua 报告
解析取证/failure/ruf 报告
可以通过 IMAP、Microsoft Graph 或 Gmail API 解析来自收件箱的报告
透明地处理 gzip 或 zip 压缩报告
一致的数据结构
简单的 JSON 和/或 CSV 输出
可选择通过电子邮件发送结果
可选择将结果发送到 Elasticsearch 和/或 Splunk，以与预制仪表板一起使用
可选择将报告发送到 Apache Kafka

图片来自
github.com/domainaware/parsedmarc

Phishing Catcher

作为一家企业，网络钓鱼可能会给您和您的客户造成声誉和经济损失。能够主动识别针对您的企业的网络钓鱼基础设施有助于降低这些损害的风险。

Phish catcher 允许您通过查找通过 CertStream API 报告给证书透明日志 (CTL) 的可疑 TLS 证书颁发，近乎实时地捕获可能的网络钓鱼域。

“可疑”发布是指根据配置文件，其域名得分超过特定阈值的发布。

图片来自
github.com/x0rz/phishing_catcher

maltrail

Maltrail 是一种恶意流量检测系统，利用包含恶意和/或一般可疑轨迹的公开可用列表，以及从各种 AV 报告和自定义用户定义列表编译的静态轨迹。踪迹可以是域名、URL、IP 地址或 HTTP User-Agent 标头值中的任何内容。

可以在此处找到该工具的演示页面。

安装：

sudo apt-get install git python3 python3-dev python3-pip python-is-python3 libpcap-dev build-essential procps schedtool
sudo pip3 install pcapy-ng
git clone --depth 1 https://github.com/stamparm/maltrail.git
cd maltrail

用法：

sudo python3 sensor.py

图片来自
github.com/stamparm/maltrail

AutorunsToWinEventLog

Autoruns 是由 Sysinternals 开发的一种工具，它允许您查看 Windows 中应用程序可以插入自身以在启动时或打开某些应用程序时启动的所有位置。恶意软件经常利用这些位置来确保它在您的计算机启动时运行。

Autoruns 方便地包含一个非交互式命令行实用程序。此代码生成 Autoruns 条目的 CSV，将它们转换为 JSON，最后将它们插入到自定义 Windows 事件日志中。通过这样做，我们可以利用我们现有的 WEF 基础设施将这些条目放入我们的 SIEM 中，并开始在端点和服务器上寻找恶意持久性的迹象。

安装：

下载AutorunsToWinEventLog。

用法：

从 Admin Powershell 控制台运行

.\Install.ps1

该脚本执行以下操作：

在 c:\Program Files\AutorunsToWinEventLog 中创建目录结构
将 AutorunsToWinEventLog.ps1 复制到该目录
从https://live.sysinternals.com下载 Autorunsc64.exe
设置计划任务以每天上午 11 点运行脚本

图片来自
detectionlab.network/usage/autorunstowineventlog/

ProcFilter

ProcFilter 是一个内置YARA集成的 Windows 进程过滤系统。YARA 规则可以使用定制的元标记进行检测，定制元标记对规则匹配的响应。它作为 Windows 服务运行，并与Microsoft 的 ETW API集成，使结果可在 Windows 事件日志中查看。安装、激活和删除可以动态完成，不需要重新启动。

ProcFilter 的预期用途是让恶意软件分析师能够创建 YARA 签名，以保护其 Windows 环境免受特定威胁。它不包括大型签名集。考虑轻量级、精确和有针对性的，而不是广泛的或无所不包的。ProcFilter 还旨在用于自定义插件可以执行特定工件操作的受控分析环境。

安装：

ProcFilter x86/x64 发布/调试安装程序

注意：未打补丁的 Windows 7 系统需要修补程序 3033929 才能加载驱动程序组件。更多信息可以在这里找到。

不错的配置模板文件在这里。

用法：

procfilter -start

使用截图可以在这里找到。

图片使用自
github.com/godaddy/procfilter

velociraptor

Velociraptor 是一个独特的高级开源端点监控、数字取证和网络响应平台。

它是由数字取证和事件响应 (DFIR) 专业人员开发的，他们需要一种强大而高效的方法来寻找特定的工件并监控端点队列中的活动。Velociraptor 使您能够更有效地应对各种数字取证和网络事件响应调查和数据泄露：

特征：

通过数字取证分析重建攻击者活动
寻找老练对手的证据
调查恶意软件爆发和其他可疑网络活动
持续监控可疑的用户活动，例如复制到 USB 设备的文件
发现机密信息泄露是否发生在网络之外
随着时间的推移收集端点数据，用于威胁搜寻和未来事件调查

安装：

从发布页面下载二进制文件。

用法：

velociraptor gui

完整的使用信息可以在这里找到。

图片来自https://docs.velociraptor.app

SysmonSearch

SysmonSearch 通过汇总 Microsoft 的 Sysmon 生成的事件日志，使事件日志分析更有效、更省时。

SysmonSearch 使用 Elasticserach 和 Kibana（和 Kibana 插件）。

Elasticserach
Elasticsearch 收集/存储 Sysmon 的事件日志。
Kibana
Kibana 为您的 Sysmon 的事件日志分析提供了用户界面。以下功能作为 Kibana 插件实现。
- 可视化功能
  此功能可视化 Sysmon 的事件日志，以说明进程和网络的相关性。
- 统计功能
  此功能收集每个设备或Sysmon 的事件ID 的统计数据。
- 监控功能
  此功能根据预先配置的规则监控传入日志，并触发警报。
StixIoC 服务器
您可以通过上传 STIX/IOC 文件来添加搜索/监视条件。从 StixIoC 服务器 Web UI，您可以上传 STIXv1、STIXv2 和 OpenIOC 格式的文件。

安装：（Linux）

git clone https://github.com/JPCERTCC/SysmonSearch.git

修改 Elasticsearch 配置

修改 Kibana 配置

可以在此处找到完整的安装说明。

用法：

修改 Elasticsearch 和 Kibana 配置后，重新启动服务并导航到您的 Kibana 界面。SysmonSearch 功能区应该是可见的。

可视化 Sysmon 日志以调查可疑行为

图片使用自
blogs.jpcert.or.jp/ja/2018/09/SysmonSearch.html

威胁工具和技术

用于识别和实施针对威胁行为者使用的 TTP 的检测的工具。

lolbas-project.github.io

Living off the land binaries (LOLBins) 是合法的 Windows 可执行文件，威胁行为者可以使用它们来执行恶意活动而不会引起怀疑。

使用 LOLBins 允许攻击者混入正常系统活动并逃避检测，使其成为恶意行为者的热门选择。

LOLBAS 项目是 LOLBINS 的 MITRE 映射列表，其中包含防御者的命令、用法和检测信息。

访问https://lolbas-project.github.io/。

用法：

使用检测机会的信息来加强您的基础架构以防止 LOLBIN 使用。

以下是一些入门项目链接：

图片使用自
https://lolbas-project.github.io/

gtfobins.github.io

GTFOBins（“Get The F* Out Binaries”的缩写）是 Unix 二进制文件的集合，可用于提升权限、绕过限制或在系统上执行任意命令。

它们可以被威胁行为者用来获得对系统的未授权访问并执行恶意活动。

GTFOBins 项目是一个 Unix 二进制文件列表，其中包含攻击者的命令和使用信息。此信息可用于实施 unix 检测。

访问https://gtfobins.github.io/。

用法：

以下是一些入门项目链接：

图片使用自https://gtfobins.github.io/

filesec.io

Filesec 是一个文件扩展名列表，攻击者可以使用这些扩展名进行网络钓鱼、执行、宏等。

这是一个很好的资源，可以帮助您了解常见文件扩展的恶意用例以及您可以防御它们的方法。

每个文件扩展名页面都包含描述、相关操作系统和建议。

访问https://filesec.io/。

用法：

以下是一些入门项目链接：

图片来自https://filesec.io/

KQL Search

KQL 代表“Kusto 查询语言”，它是一种用于在 Azure Monitor 日志中搜索和过滤数据的查询语言。它类似于 SQL，但更针对日志分析和时间序列数据进行了优化。

KQL 查询语言对蓝队特别有用，因为它允许您快速轻松地搜索大量日志数据，以识别可能表明威胁的安全事件和异常。

KQL Search 是由@ugurkocde创建的 Web 应用程序，它聚合了在 GitHub 上共享的 KQL 查询。

您可以访问该网站https://www.kqlsearch.com/。

可以在此处找到有关 Kusto 查询语言 (KQL) 的更多信息。

图片使用自
https://www.kqlsearch.com/

取消保护项目

恶意软件作者花费大量时间和精力来开发复杂代码以对目标系统执行恶意操作。让恶意软件不被发现并避免沙盒分析、防病毒或恶意软件分析人员使用是至关重要的。

使用这种技术，恶意软件能够在雷达下通过并在系统上保持不被发现。这个免费数据库的目标是集中有关恶意软件规避技术的信息。

该项目旨在为恶意软件分析师和防御者提供可操作的见解和检测功能，以缩短他们的响应时间。

该项目可以在https://unprotect.it/找到。

该项目有一个 API-Docs here。

图片来自https://unprotect.it/map/

chainsaw

Chainsaw 提供强大的“第一响应”功能，可以快速识别事件日志和 MFT 等 Windows 取证制品中的威胁。Chainsaw 提供了一种通用且快速的方法来搜索事件日志中的关键字，并通过使用对 Sigma 检测规则的内置支持和自定义 Chainsaw 检测规则来识别威胁。

特征：

使用 Sigma 检测规则和自定义 Chainsaw 检测规则寻找威胁
通过字符串匹配和正则表达式模式搜索和提取取证制品
快如闪电，用 Rust 编写，包装了@OBenamram 的 EVTX 解析器库
干净、轻量级的执行和输出格式，没有不必要的膨胀数据
TAU引擎库提供的文档标注（检测逻辑匹配）
多种格式输出结果，如ASCII表格格式、CSV格式、JSON格式
可以在 MacOS、Linux 和 Windows 上运行

安装：

git clone https://github.com/countercept/chainsaw.git
cargo build --release
git clone https://github.com/SigmaHQ/sigma
git clone https://github.com/sbousseaden/EVTX-ATTACK-SAMPLES.git

用法：

./chainsaw hunt EVTX-ATTACK-SAMPLES/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml

图片来自
twitter.com/FranticTyping/status/

freq

攻击者试图通过引入随机文件名、服务名称、工作站名称、域、主机名、SSL 证书主题和颁发者主题等来绕过基于签名/模式匹配/黑名单技术。

Freq 是 Mark Baggett 设计的用于处理质量熵测试的 python API。它旨在与 SIEM 解决方案结合使用，但可以与任何可以提交 Web 请求的东西一起使用。

该工具使用频率表来映射一个字符跟随另一个字符的可能性

安装：

git clone https://github.com/MarkBaggett/freq
cd freq

用法：

# Running freq_server.py on port 10004 and using a frequency table of /opt/freq/dns.freq
/usr/bin/python /opt/freq/freq_server.py 10004 /opt/freq/dns.freq

yarGen

yarGen 是 YARA 规则的生成器

主要原则是根据恶意软件文件中的字符串创建 yara 规则，同时删除所有也出现在好软件文件中的字符串。因此 yarGen 包含一个很大的软件字符串和操作码数据库作为 ZIP 存档，必须在首次使用前将其解压缩。

规则生成过程还尝试识别所分析文件之间的相似性，然后将字符串组合成所谓的超级规则。超级规则生成不会删除已组合在单个超级规则中的文件的简单规则。这意味着创建超级规则时存在一些冗余。您可以使用 –nosimple 抑制已被超级规则覆盖的文件的简单规则。

安装：

下载最新版本。

pip install -r requirements.txt
python yarGen.py --update

用法：

# Create a new strings and opcodes database from an Office 2013 program directory
yarGen.py -c --opcodes -i office -g /opt/packs/office2013

# Update the once created databases with the "-u" parameter
yarGen.py -u --opcodes -i office -g /opt/packs/office365

可以在此处找到用法示例。

图片来自https://github.com/Neo23x0/yarGen

电子邮件分析器-(EmailAnalyzer)

使用 EmailAnalyzer，您可以分析您的可疑电子邮件。您可以从 .eml 文件中提取标题、链接和哈希

安装：

git clone https://github.com/keraattin/EmailAnalyzer
cd EmailAnalyzer

用法：

# View headers in eml file
python3 email-analyzer.py -f <eml file> --headers

# Get hashes 
python3 email-analyzer.py -f <eml file> --digests

# Get links
python3 email-analyzer.py -f <eml file> --links

# Get attachments
python3 email-analyzer.py -f <eml file> --attachments

使用的文本来自
github.com/keraattin/EmailAnalyzer

VCG

VCG 是一种自动代码安全审查工具，可处理 C/C++、Java、C#、VB 和 PL/SQL。它有一些功能，希望对任何进行代码安全审查的人都有用，尤其是在时间紧迫的情况下：

除了执行一些更复杂的检查之外，它还有一个针对每种语言的配置文件，基本上允许您添加要搜索的任何错误函数（或其他文本）
它试图在注释中找到大约 20 个短语，这些短语可以指示损坏的代码（“ToDo”、“FixMe”、“Kludge”等）
它提供了一个漂亮的饼图（针对整个代码库和单个文件）显示代码、空格、注释、’ToDo’ 样式注释和错误代码的相对比例

安装：

您可以在此处安装预编译的二进制文件。

打开项目 .sln，选择“发布”，然后构建。

用法：

STARTUP OPTIONS:
	(Set desired starting point for GUI. If using console mode these options will set target(s) to be scanned.)
	-t, --target <Filename|DirectoryName>:	Set target file or directory. Use this option either to load target immediately into GUI or to provide the target for console mode.
	-l, --language <CPP|PLSQL|JAVA|CS|VB|PHP|COBOL>:	Set target language (Default is C/C++).
	-e, --extensions <ext1|ext2|ext3>:	Set file extensions to be analysed (See ReadMe or Options screen for language-specific defaults).
	-i, --import <Filename>:	Import XML/CSV results to GUI.

OUTPUT OPTIONS:
	(Automagically export results to a file in the specified format. Use XML or CSV output if you wish to reload results into the GUI later on.)
	-x, --export <Filename>:	Automatically export results to XML file.
	-f, --csv-export <Filename>:	Automatically export results to CSV file.
	-r, --results <Filename>:	Automatically export results to flat text file.

CONSOLE OPTIONS:
	-c, --console:		Run application in console only (hide GUI).
	-v, --verbose:		Set console output to verbose mode.
	-h, --help:		Show help.

网络大厨-CyberChef

https://www.ddosi.org/code/

CyberChef 是一款免费的基于 Web 的工具，允许用户使用多种技术来操作和转换数据。

使用 CyberChef，您可以对数据执行广泛的操作，例如在不同数据格式（例如，十六进制、base64、ASCII）之间进行转换、编码和解码数据、搜索和替换文本等。

该工具还包括一个配方系统，允许您保存数据操作工作流程并与他人共享。

可以从这里使用该工具。

威胁情报

用于收集和分析有关当前和新出现威胁的情报以及生成有关潜在威胁的警报的工具。

Maltego

Maltego 是由 Paterva 开发的商业威胁情报和取证工具。安全专业人员使用它来收集和分析有关域、IP 地址、网络和个人的信息，以识别可能不会立即显现的关系和连接。

Maltego 使用可视化界面将数据表示为实体，这些实体可以链接在一起形成关系网络。它包括一系列转换，这些转换是可用于从各种来源收集数据的脚本，例如社交媒体、DNS 记录和 WHOIS 数据。

Maltego 通常与其他安全工具结合使用，例如 SIEM 和漏洞扫描器，作为综合威胁情报和事件响应策略的一部分。

您可以在此处安排演示。

Maltego 手册 Handbook for Cyber Threat Intelligence

图片来自
maltego.com/reduce-your-cyber-security-risk-with-maltego

MISP

MISP（恶意软件信息共享平台的缩写）是一个开源平台，用于共享、存储和关联目标攻击、威胁和恶意活动的侵害指标 (IOC)。

MISP 包括一系列功能，例如 IOC 的实时共享、对多种格式的支持以及将数据导入和导出其他工具的能力。

它还提供了 RESTful API 和各种数据模型，以促进 MISP 与其他安全系统的集成。除了用作威胁情报平台外，MISP 还用于事件响应、取证分析和恶意软件研究。

安装：

# Kali
wget -O /tmp/misp-kali.sh https://raw.githubusercontent.com/MISP/MISP/2.4/INSTALL/INSTALL.sh && bash /tmp/misp-kali.sh

# Ubuntu 20.04.2.0-server
wget -O /tmp/INSTALL.sh https://raw.githubusercontent.com/MISP/MISP/2.4/INSTALL/INSTALL.sh
bash /tmp/INSTALL.sh

可以在此处找到完整的安装说明。

用法：

可以在此处找到 MISP 文档。

MISP 用户指南

MISP 培训备忘单

图片使用自
integration-of-misp-into-flowmon-ads

威胁连接–ThreatConnect

ThreatConnect 是一个威胁情报平台，可帮助组织聚合、分析和处理威胁数据。它旨在为组织的威胁态势提供单一、统一的视图，并使用户能够协作和共享有关威胁的信息。

该平台包括一系列用于收集、分析和传播威胁情报的功能，例如可自定义的仪表板、与第三方数据源的集成以及创建自定义报告和警报的能力。

它旨在通过为组织提供识别、确定优先级和响应潜在威胁所需的信息来帮助组织改善其安全状况。

您可以从这里申请演示。

面向威胁英特尔分析师的 ThreatConnect – PDF

图片来自
threatconnect.com/threat-intelligence-platform

对手仿真库–Adversary Emulation Library

这是一个对手模拟计划库，使您能够评估您对现实世界威胁的防御能力。

对于希望优先防御特定威胁行为的组织来说，仿真计划是必不可少的组成部分。

此资源中概述的 TTP 可用于设计特定的威胁模拟活动，以测试您的组织针对特定威胁参与者的防御能力。

在此处访问资源。

示例（沙虫）

图片来自
adversary_emulation_library

事件响应计划

用于创建和维护事件响应计划的工具，包括用于响应不同类型事件的模板和最佳实践。

美国国家标准与技术研究院–NIST

NIST 网络安全框架 (CSF) 是由美国国家标准与技术研究院 (NIST) 开发的框架，旨在帮助组织管理网络安全风险。它提供了一套指南、最佳实践和标准，用于实施和维护强大的网络安全计划。

该框架围绕五个核心功能组织：识别、保护、检测、响应和恢复。这些功能为理解和解决网络安全风险的各个组成部分提供了一个结构。

CSF 的设计具有灵活性和适应性，可以对其进行定制以适应组织的特定需求和目标。它旨在用作改善组织网络安全态势并帮助组织更好地理解和管理其网络安全风险的工具。

有用的链接：

图片来自
strengthen-security-of-your
-data-center-with-the-nist-cybersecurity-framework

事件响应计划(应急响应)

事件响应计划是公司为管理和减轻安全事件（例如数据泄露或网络攻击）的影响而制定的一套程序。

事件响应计划背后的理论是，它可以帮助公司为安全事件做好准备并对其做出有效响应，从而最大限度地减少损失并降低未来再次发生的可能性。

企业需要事件响应计划的原因有以下几个：

最大限度地减少安全事件的影响：事件响应计划可帮助公司尽快识别和解决安全事件的根源，这有助于最大限度地减少损害并减少其传播的机会。
满足法规要求：许多行业都有法规要求公司制定事件响应计划。例如，支付卡行业数据安全标准 (PCI DSS) 要求接受信用卡的商家和其他组织制定事件响应计划。
保护声誉：安全事件会损害公司的声誉，从而导致客户和收入损失。事件响应计划可以帮助公司管理情况并将对其声誉的损害降至最低。
降低安全事件的成本：安全事件的成本可能很高，包括补救成本、法律费用和业务损失。事件响应计划可以通过提供响应事件的路线图来帮助公司将这些成本降至最低。

有用的链接：

网络安全和基础设施安全局 – 网络事件响应

FBI – 事件响应政策

图片来自

ncsc.gov.uk/collection/incident-management/incident-response

勒索软件应对计划

勒索软件是一种加密受害者文件的恶意软件。然后，攻击者要求受害者支付赎金以恢复对文件的访问；因此得名勒索软件。

勒索软件响应计划背后的理论是，它可以帮助公司做好准备，有效应对勒索软件攻击，从而最大限度地减少攻击的影响，并降低未来再次发生此类攻击的可能性。

企业需要勒索软件响应计划的原因有以下几个：

尽量减少勒索软件攻击的影响：勒索软件响应计划可帮助公司尽快识别和解决勒索软件攻击，这有助于最大限度地减少损害并降低勒索软件传播到其他系统的机会。
防止数据丢失：勒索软件攻击可能导致重要数据丢失，这对企业而言可能代价高昂且具有破坏性。勒索软件响应计划可以帮助公司从攻击中恢复并避免数据丢失。
保护声誉：勒索软件攻击可能会损害公司的声誉，从而导致客户和收入损失。勒索软件响应计划可以帮助公司管理情况并将对其声誉的损害降至最低。
降低勒索软件攻击的成本：勒索软件攻击的成本可能很高，包括补救成本、法律费用和业务损失。勒索软件响应计划可以通过提供响应攻击的路线图来帮助公司将这些成本降至最低。

有用的链接：

国家网络安全中心 – 减轻恶意软件和勒索软件攻击

NIST – 勒索软件保护和响应

网络安全和基础设施安全局 – 勒索软件指南

Microsoft 安全 – 勒索软件响应

博客 – 创建勒索软件响应计划

图片来自

csrc.nist.gov/Projects/ransomware-protection-and-response

事件响应参考指南

这是一种“急救”式的网络安全指南，可帮助您为危机做好准备并限制危机中的潜在损害。

这包括针对重大网络安全事件的技术、运营、法律和通信方面的提示和指南。

关键要点

准备工作得到回报——为重大事件做好准备可以减少对组织的损害，并降低事件成本和管理难度。
实施事件管理流程——管理重大网络安全事件必须成为标准业务风险管理流程的一部分。
协调至关重要——有效的网络安全事件管理需要技术、运营、通信、法律和治理职能的协作和协调。
保持冷静，不要在事件中造成伤害——反应过度和反应不足一样具有破坏性。

你可以在这里阅读这篇论文。

图片来自

EN-US-CNTNT-emergency-doc-digital.pdf

很棒的事件响应

用于安全事件响应的精选工具和资源列表，旨在帮助安全分析师和DFIR团队。

这是一个很好的资源，其中包含事件响应不同方面的链接，包括：

对手仿真
多合一工具
图书
社区
磁盘映像创建工具

在此处访问资源。

图片来自

github.com/meirwah/awesome-incident-response

恶意软件检测和分析

用于检测和分析恶意软件的工具，包括防病毒软件和取证分析工具。

VirusTotal

VirusTotal 是一个网站和基于云的工具，用于分析和扫描文件、URL 和软件以查找病毒、蠕虫和其他类型的恶意软件。

当文件、URL 或软件提交给 VirusTotal 时，该工具会使用各种防病毒引擎和其他工具来扫描和分析它是否存在恶意软件。然后它会提供一份包含分析结果的报告，这可以帮助安全专业人员和蓝队识别和应对潜在威胁。

VirusTotal 还可用于检查文件或 URL 的信誉，以及监控网络上的恶意活动。

访问https://www.virustotal.com/gui/home/search

用法：

# Recently created documents with macros embedded, detected at least by 5 AVs
(type:doc OR type: docx) tag:macros p:5+ generated:30d+

# Excel files bundled with powershell scripts and uploaded to VT for the last 10
days
(type:xls OR type:xlsx) tag:powershell fs:10d+

# Follina-like exploit payloads
entity:file magic:"HTML document text" tag:powershell have:itw_url

# URLs related to specified parent domain/subdomain with a specific header in
the response
entity:url header_value:"Apache/2.4.41 (Ubuntu)" parent_domain:domain.org

# Suspicious URLs with a specific HTML title
entity:url ( title:"XY Company" or title:"X.Y. Company" or title:"XYCompany" ) p:5+

可以在此处找到完整的文档。

VT 情报备忘单

图片来自

virustotal.com/gui/home/search

IDA

IDA（Interactive Disassembler）是一个强大的工具，用于逆向工程和分析已编译和可执行的代码。

它可用于检查软件（包括恶意软件）的内部工作原理，并了解其功能。IDA 允许用户反汇编代码，将其反编译为更高级别的编程语言，并查看和编辑生成的源代码。这对于识别漏洞、分析恶意软件和了解程序的工作原理很有用。

IDA 还可用于生成可视化代码结构和流程的图形和图表，这可以使其更易于理解和分析。

安装：

从这里下载 IDA 。

用法：

IDA 实用速查表

IDAPython 备忘单

IDA Pro 备忘单

图片使用自

https://www.newton.com.tw/wiki/IDA%20Pro

Ghidra

Ghidra 是由国家安全局 (NSA) 开发的免费开源软件逆向工程工具。它用于分析已编译和可执行代码，包括恶意软件。

Ghidra 允许用户反汇编代码，将其反编译为更高级别的编程语言，并查看和编辑生成的源代码。这对于识别漏洞、分析恶意软件和了解程序的工作原理很有用。

Ghidra 还包括一系列支持 SRE 任务的功能和工具，例如调试、代码绘图和数据可视化。Ghidra 是用 Java 编写的，适用于 Windows、MacOS 和 Linux。

安装：

从这里下载最新版本。
解压缩

可以在此处找到完整的安装和错误修复信息。

用法：

导航到解压缩的文件夹

# Windows
ghidraRun.bat

# Linux
./ghidraRun

如果 Ghidra 无法启动，请参阅故障排除链接。

图片来自

malwaretech.com/

decode-vbe

Microsoft（很久以前）引入了脚本编码，以防止人们能够阅读、理解和更改 VBScript 文件。

编码的脚本不可读但仍然能够执行，这使其成为一种流行的机制，威胁参与者希望隐藏他们的恶意代码、IOC、硬编码的 C2 域等，同时仍然能够实现执行。

decode-vbe 脚本可用于将编码的 VBE 文件转换回纯文本以供分析。

这里是关于 VBE 文件的不错的博客。

安装：

git clone https://github.com/DidierStevens/DidierStevensSuite/
cd DidierStevensSuite

用法：

# Decode literal string
decode-vbe.py "##@~^DgAAAA==\ko$K6,JC�V^GJqAQAAA==^#~@"

# Decode hexadecimal (prefix #h#)
decode-vbe.py #h#23407E5E4467414141413D3D5C6B6F244B362C4A437F565E474A7141514141413D3D5E237E40

# Decode base64 (prefix #b#)
decode-vbe.py #b#I0B+XkRnQUFBQT09XGtvJEs2LEpDf1ZeR0pxQVFBQUE9PV4jfkA=

pafish

Pafish 是一种测试工具，它使用不同的技术以与恶意软件家族相同的方式检测虚拟机和恶意软件分析环境。

该项目是免费和开源的；所有反分析技术的代码都是公开的。适用于 Windows（x86 32 位和 64 位）的 Pafish 可执行文件可以从发布页面下载。

安装：（构建）

Pafish 是用 C 语言编写的，可以用 Mingw-w64 和 make 构建。

维基页面“如何构建”包含详细说明。

用法：

pafish.exe

图片来自https://github.com/a0rtega/pafish

lookyloo

Lookyloo 是一个 Web 界面，可以捕获网页，然后显示相互调用的域树。

使用 Lookyloo 来映射网站页面的旅程 – 从输入初始 URL 地址到各种重定向到第三方附属机构。

安装：

git clone https://github.com/Lookyloo/lookyloo.git
cd lookyloo
poetry install
echo LOOKYLOO_HOME="'`pwd`'" > .env

可以在此处找到完整的安装说明。

用法：

安装并运行后，lookyloo 可以通过本地托管的 Web 界面进行操作。

图片来自https://www.lookyloo.eu/

YARA

YARA 是一个旨在（但不限于）帮助恶意软件研究人员识别和分类恶意软件样本的工具。使用 YARA，您可以基于文本或二进制模式创建恶意软件家族的描述（或任何您想要描述的内容）。

每个描述，也就是规则，由一组字符串和一个确定其逻辑的布尔表达式组成。

安装：

tar -zxf yara-4.2.0.tar.gz
cd yara-4.2.0
./bootstrap.sh
sudo apt-get install automake libtool make gcc pkg-config
git clone https://github.com/VirusTotal/yara
cd yara
./bootstrap.sh
./configure
make
sudo make install

可以在此处找到完整的安装说明。

用法：

# Apply rule in /foo/bar/rules to all files in the current directory
yara /foo/bar/rules  .

# Scan all files in the /foo directory and its subdirectories:
yara /foo/bar/rules -r /foo

不错的 YARA 备忘单在这里。

图片来自https://virustotal.github.io/yara/

Cuckoo沙盒

Cuckoo 是一个开源的自动化恶意软件分析系统。

它用于自动运行和分析文件，并收集综合分析结果，概述恶意软件在隔离操作系统中运行时的行为。

它可以检索以下类型的结果：

恶意软件生成的所有进程执行的调用的痕迹。
恶意软件在执行期间创建、删除和下载的文件。
恶意软件进程的内存转储。
PCAP 格式的网络流量跟踪。
恶意软件执行期间截取的屏幕截图。
机器的完整内存转储。

安装：

对于安装，请按照此处的文档进行操作。

用法：

有关用法，请按照此处的文档进行操作。

Radare2

Radare2 提供了一组库、工具和插件来简化逆向工程任务。

r2 是一个功能强大的低级命令行工具，支持脚本。r2 可以在本地或通过远程 gdb 服务器编辑本地硬盘上的文件、查看内核内存以及调试程序。r2 广泛的架构支持允许您分析、模拟、调试、修改和反汇编任何二进制文件。

安装：

git clone https://github.com/radareorg/radare2
radare2/sys/install.sh

用法：

$ r2 /bin/ls   # open the binary in read-only mode
> aaa          # same as r2 -A, analyse the binary
> afl          # list all functions (try aflt, aflm)
> px 32        # print 32 byte hexdump current block
> s sym.main   # seek to the given offset (by flag name, number, ..)
> f~foo        # filter flags with ~grep (same as |grep)
> iS;is        # list sections and symbols (same as rabin2 -Ss)
> pdf; agf     # print function and show control-flow-graph in ascii-art
> oo+;w hello  # reopen in rw mode and write a string in the current offset
> ?*~...       # interactive filter all command help messages
> q            # quit

很棒的用法书在这里。

图片来自https://github.com/radareorg/radare2

dnSpy

dnSpy 是一个调试器和 .NET 程序集编辑器。您可以使用它来编辑和调试程序集。

主要特点：

调试 .NET 和 Unity 程序集
编辑 .NET 和 Unity 程序集

安装：（构建）

git clone --recursive https://github.com/dnSpy/dnSpy.git
cd dnSpy
./build.ps1 -NoMsbuild

用法：

dnSpy.exe

不错的教程页面在这里。

图片使用自

7d2dsdx.github.io/Tutorials/index.html?StartingdnSpy.html

malware-traffic-analysis.net 网站

这是一个拥有超过 2,200 个关于恶意网络流量的博客条目的站点。该网站上几乎每篇文章都有 pcap 文件或恶意软件样本（或两者都有）。

该站点还包含许多流量分析练习，包括技术博客文章，其中概述了威胁行为者使用的技术。

用法：

访问https://www.malware-traffic-analysis.net/。

图片来自

malware-traffic-analysis.net/

数据恢复

用于从受损或损坏的系统和设备中恢复数据的工具。

Recuva

Recuva 是一种数据恢复工具，可用于从您的计算机中恢复已删除的文件。

它通常用于恢复可能包含有价值信息的已删除文件，例如可用于调查安全事件的已删除日志或文档。

Recuva 可以从硬盘驱动器、USB 驱动器和存储卡中恢复文件，它可用于 Windows 和 Mac 操作系统。

安装：

您可以从此处下载该工具。

用法：

不错的步骤指南。

图片来自

softpedia.com/

Extundelete

Extundelete 是一个实用程序，可用于从 ext3 或 ext4 文件系统中恢复已删除的文件。

它的工作原理是在文件系统中搜索曾经属于文件的数据块，然后尝试使用这些数据块重新创建文件。它通常用于恢复被意外或恶意删除的重要文件。

安装：

您可以从此处下载该工具。

用法：

# Prints information about the filesystem from the superblock.
--superblock

# Attemps to restore the file which was deleted at the given filename, called as "--restore-file dirname/filename".
--restore-file path/to/deleted/file

# Restores all files possible to undelete to their names before deletion, when possible. Other files are restored to a filename like "file.NNNN".
--restore-all

完整的使用信息可以在这里找到。

图片来自

theevilbit.blogspot.com/

TestDisk

TestDisk 是一款免费的开源数据恢复软件工具，旨在帮助恢复丢失的分区并使非启动磁盘再次启动。它对计算机取证和数据恢复都很有用。

它可用于恢复由于各种原因丢失的数据，例如意外删除、格式化或分区表损坏。

TestDisk 还可用于修复损坏的引导扇区、恢复已删除的分区和恢复丢失的文件。它支持范围广泛的文件系统，包括 FAT、NTFS 和 ext2/3/4，并且可用于从损坏的磁盘或使用与最初创建的文件系统不同的文件系统格式化的磁盘中恢复数据。

安装：

您可以从此处下载该工具。

用法：

完整的用法示例在这里。

分步指南

TestDisk 文档 PDF – 60 页

图片来自https://www.cgsecurity.org/wiki/

数字取证

用于对数字设备和系统进行取证调查的工具，包括用于收集和分析证据的工具。

SANS SIFT

SANS SIFT（SANS Investigative Forensic Toolkit）是一个用于取证分析和事件响应的强大工具包。

它是开源和商业工具的集合，可用于在包括 Windows、Linux 和 Mac OS X 在内的各种系统上执行取证分析。SANS SIFT 工具包设计用于在取证工作站上运行，该工作站可是一种专门的计算机，用于对数字证据进行取证分析。

SANS SIFT 工具包对蓝队成员特别有用，因为它提供了范围广泛的工具和资源，可用于调查事件、响应威胁以及对受感染的系统执行取证分析。

安装：

访问https://www.sans.org/tools/sift-workstation/。
单击“登录以下载”按钮并输入（或创建）您的 SANS 门户帐户凭据以下载虚拟机。
启动虚拟机后，使用下面的凭据获取访问权限。

Login = sansforensics
Password = forensics

注意： 用于在安装磁盘映像时将权限提升到 root。

其他安装选项在这里。

用法：

# Registry Parsing - Regripper
rip.pl -r <HIVEFILE> -f <HIVETYPE>

# Recover deleted registry keys
deleted.pl <HIVEFILE>

# Mount E01 Images
ewfmount image.E01 mountpoint
mount -o

# Stream Extraction
bulk_extractor <options> -o output_dir

完整的使用指南在这里。