超赞取证资源

精选的超赞免费(大多数开源)取证分析工具和资源列表。

• 超赞取证资源
  • 资源集合
  • 工具
    • 发行版
    • 框架
    • 实时取证
    • IOC扫描器
    • 获取
    • 镜像
    • 数据恢复
    • 内存取证
    • 网络取证
    • Windows工件
      • NTFS/MFT处理
    • OS X取证
    • 移动设备取证
    • Docker取证
    • 互联网工件
    • 时间线分析
    • 磁盘镜像处理
    • 解密
    • 管理
    • 图像分析
    • 元数据取证
    • 隐写术
  • 学习取证
    • CTF和挑战
  • 资源
    • 网站
    • 博客
    • 书籍
    • 文件系统语料库
    • 其他
    • 实验室
  • 相关超赞列表
  • 贡献

资源集合

• AboutDFIR – 权威汇编项目 - 用于学习和研究的取证资源集合。提供认证、书籍、博客、挑战等列表
• :star: ForensicArtifacts.com 工件库 - 机器可读的取证工件知识库

工具

• Wikipedia上的取证工具
• Eric Zimmerman的工具

发行版

• bitscout - 用于远程取证获取和分析的LiveCD/LiveUSB
• Remnux - 用于逆向工程和分析恶意软件的发行版
• SANS调查取证工具包 (sift) - 用于取证分析的Linux发行版
• Tsurugi Linux - 用于取证分析的Linux发行版
• WinFE - Windows取证环境

框架

• :star:Autopsy - SleuthKit的GUI界面
• dexter - Dexter是一个可扩展且安全的取证获取框架
• dff - 取证框架
• Dissect - Dissect是一个数字取证和事件响应框架和工具集，允许你快速访问和分析来自各种磁盘和文件格式的取证工件，由Fox-IT(NCC Group的一部分)开发。
• hashlookup-forensic-analyser - 一个工具，用于分析取证获取的文件，以从hashlookup API或使用本地布隆过滤器找到已知/未知的哈希值。
• IntelMQ - IntelMQ收集和处理安全源
• Kuiper - 数字调查平台
• Laika BOSS - Laika是一个对象扫描器和入侵检测系统
• PowerForensics - PowerForensics是一个实时磁盘取证分析框架
• TAPIR - TAPIR (可信事件响应工件解析器)是一个多用户、客户端/服务器的事件响应框架
• :star: The Sleuth Kit - 用于低级取证分析的工具
• turbinia - Turbinia是一个开源框架，用于在云平台上部署、管理和运行取证工作负载
• IPED - 数字证据索引器和处理器 - 巴西联邦警察用于取证调查的工具
• Wombat Forensics - 取证GUI工具

实时取证

• grr - GRR 快速响应:用于事件响应的远程实时取证

• Linux Expl0rer - 使用 Python 和 Flask 编写的易用的 Linux 端点实时取证工具箱

• mig - 分布式实时数字取证,以云端速度运行

• osquery - 基于 SQL 的操作系统分析工具

• POFR - Penguin OS 飞行记录器收集、存储并组织 Linux 操作系统的进程执行、文件访问和网络/套接字端点数据,以供进一步分析。

• UAC - UAC(类 Unix 工件收集器)是一个事件响应实时收集脚本,使用本机二进制文件和工具来自动收集 AIX、Android、ESXi、FreeBSD、Linux、macOS、NetBSD、NetScaler、OpenBSD 和 Solaris 系统的工件。

IOC 扫描器

• Fastfinder - 快速、可自定义的跨平台可疑文件查找器。支持 md5/sha1/sha256 哈希、字面/通配符字符串、正则表达式和 YARA 规则

• Fenrir - 简单的 Bash IOC 扫描器

• Loki - 简单的 IOC 和事件响应扫描器

• Redline - FireEye 的免费端点安全工具

• THOR Lite - 免费的 IOC 和 YARA 扫描器

• recon - 面向性能的文件查找器,支持 SQL 查询,索引和分析文件元数据,支持 YARA。

采集

• Acquire - Acquire 是一个工具,可以快速从磁盘镜像或实时系统中收集取证工件到轻量级容器中

• artifactcollector - 一个可定制的代理,用于在任何 Windows、macOS 或 Linux 系统上收集取证工件

• ArtifactExtractor - 从源镜像和 VSC 中提取常见的 Windows 工件

• AVML - 一个用于 Linux 的便携式易失性内存采集工具

• Belkasoft RAM Capturer - 易失性内存采集工具

• DFIR ORC - 运行 Microsoft Windows 系统的取证工件收集工具

• FastIR Collector - 在 Windows 上收集工件

• FireEye Memoryze - 一款免费的内存取证软件

• FIT - 网页、电子邮件、社交媒体等的取证采集

• ForensicMiner - 基于 PowerShell 的 DFIR 自动化工具,用于在 Windows 机器上收集工件和证据。

• LiME - 可加载内核模块(LKM),允许从 Linux 和基于 Linux 的设备获取易失性内存,以前称为 DMD

• Magnet RAM Capture / DumpIt - 一个免费的成像工具,设计用于捕获物理内存

• SPECTR3 - 通过便携式 iSCSI 只读访问获取、分类和调查远程证据

• unix_collector - 用于类 UNIX 系统的单脚本实时取证收集脚本。

• Velociraptor - Velociraptor 是一个使用 Velocidex 查询语言(VQL)查询收集主机状态信息的工具

• WinTriage - Wintriage 是一个实时响应工具,用于提取 Windows 工件。它必须以本地或域管理员权限执行,建议从外部驱动器运行。

成像

• dc3dd - dd 的改进版本

• dcfldd - dd 的另一个改进版本(这个版本有一些 bug!,另一个版本在 github adulau/dcfldd)

• FTK Imager - Windows 免费成像工具

• :star: Guymager - Linux 系统上的开源磁盘成像版本

数据恢复

• bstrings - 改进的字符串实用程序

• bulk_extractor - 从磁盘镜像中提取电子邮件地址、信用卡号码和直方图等信息

• floss - 静态分析工具,用于自动反混淆恶意软件二进制文件中的字符串

• :star: photorec - 文件恢复工具

• swap_digger - 一个用于自动化 Linux 交换分析的 bash 脚本,自动提取交换分区并搜索 Linux 用户凭据、Web 表单凭据、Web 表单电子邮件等。

内存取证

• inVtero.net - 用.NET开发的高速内存分析框架，支持所有Windows x64系统，包括代码完整性和写入支持
• KeeFarce - 从内存中提取KeePass密码
• MemProcFS - 一种以虚拟文件系统形式轻松便捷访问物理内存的方法
• Rekall - 内存取证框架
• volatility - 内存取证框架
• VolUtility - Volatility框架的Web应用

网络取证

• Kismet - 被动无线网络嗅探器
• NetworkMiner - 网络取证分析工具
• Squey - 专为检测大量数据中的异常和弱信号而设计的日志/PCAP可视化软件
• :star: WireShark - 网络协议分析器

Windows工件

• Beagle - 将数据源和日志转换为图形
• Blauhaunt - 用于过滤和可视化登录事件的工具集合
• FRED - 跨平台Microsoft注册表配置单元编辑器
• Hayabusa - 基于Sigma的威胁搜寻和快速取证时间线生成器，用于Windows事件日志
• LastActivityView - Nirsoft的LastActivityView是一个Windows操作系统工具，从运行系统的各种来源收集信息，并显示用户操作和该计算机上发生事件的日志
• LogonTracer - 通过可视化和分析Windows事件日志来调查恶意Windows登录
• PyShadow - 一个用于Windows的库，可读取卷影副本、删除卷影副本、创建卷影副本的符号链接以及创建卷影副本
• python-evt - 纯Python编写的经典Windows事件日志文件（.evt）解析器
• RegRipper3.0 - RegRipper是一个开源Perl工具，用于解析注册表并呈现分析结果
• RegRippy - 用于读取和提取Windows注册表配置单元中有用取证数据的框架

NTFS/MFT处理

• MFT-Parsers - MFT解析器比较
• MFTEcmd - Eric Zimmerman开发的MFT解析器
• MFTExtractor - MFT解析器
• MFTMactime - MFT和USN解析器，允许直接提取文件系统时间线格式（mactime），以原始文件夹结构转储MFT中所有驻留文件，并对它们运行yara规则
• NTFS journal parser
• NTFS USN Journal parser
• RecuperaBit - 重建和恢复NTFS数据
• python-ntfs - NTFS分析

OS X取证

• APFS Fuse - 新Apple文件系统的只读FUSE驱动程序
• mac_apt (macOS Artifact Parsing Tool) - 从磁盘镜像或活动机器中提取取证工件
• MacLocationsScraper - 转储iOS和macOS上位置数据库文件的内容
• macMRUParser - Python脚本，将macOS上的最近使用（MRU）plist文件解析为更易读的格式
• OSXAuditor
• OSX Collect

移动设备取证

• Andriller - 一款用于智能手机的法证工具集软件
• ALEAPP - Android 日志事件和 Protobuf 解析器
• ArtEx - iOS 完整文件系统提取的工件检查器
• iLEAPP - iOS 日志、事件和 Plist 解析器
• iOS 常用位置导出工具 - 导出位于 /private/var/mobile/Library/Caches/com.apple.routined/ 的 StateModel#.archive 文件内容
• MEAT - 对 iOS 设备执行各种类型的获取
• MobSF - 一个自动化的、多合一的移动应用（Android/iOS/Windows）渗透测试、恶意软件分析和安全评估框架，能够执行静态和动态分析。
• OpenBackupExtractor - 一个用于从 iPhone 和 iPad 备份中提取数据的应用。

Docker 取证

• dof (Docker 取证工具包) - 从 Docker 主机系统的磁盘镜像中提取和解释取证工件
• Docker Explorer 从 Docker 主机系统的磁盘镜像中提取和解释取证工件

互联网工件

• ChromeCacheView - 一个小工具，用于读取 Google Chrome 网络浏览器的缓存文件夹，并显示当前存储在缓存中的所有文件列表
• chrome-url-dumper - 导出 Chrome 收集的所有本地存储信息
• hindsight - Google Chrome/Chromium 的互联网历史取证工具
• IE10Analyzer - 这个工具可以解析 WebCacheV01.dat 中的正常记录和恢复已删除的记录。
• unfurl - 从 URL 中提取和可视化数据
• WinSearchDBAnalyzer - 这个工具可以解析 Windows.edb 中的正常记录和恢复已删除的记录。

时间线分析

• DFTimewolf - 使用 GRR 和 Rekall 协调取证收集、处理和数据导出的框架
• :star: plaso - 从各种文件中提取时间戳并聚合它们
• Timeline Explorer - 用于 CSV 和 Excel 文件的时间线分析工具。为 SANS FOR508 学生开发
• timeliner - mactime 的重写版本，一个 bodyfile 读取器
• timesketch - 协作式取证时间线分析

磁盘镜像处理

• Disk Arbitrator - 一个 Mac OS X 取证工具，旨在帮助用户在磁盘设备成像过程中确保遵循正确的取证程序
• imagemounter - 命令行工具和 Python 包，用于简化取证磁盘镜像的挂载和卸载
• libewf - Libewf 是一个库和一些工具，用于访问专家证人压缩格式（EWF，E01）
• PancakeViewer - 基于 dfvfs 的磁盘镜像查看器，类似于 FTK Imager 查看器
• xmount - 在不同的磁盘镜像格式之间进行转换

解密

• hashcat - 支持 GPU 的快速密码破解工具
• John the Ripper - 密码破解工具

管理

• Catalyst - Catalyst 是一个开源安全自动化和票据系统
• dfirtrack - 数字取证和事件响应跟踪应用程序，用于跟踪系统
• Incidents - 用于组织非琐碎安全调查的 Web 应用程序。基于事件是票据树的理念构建，其中一些票据是线索
• iris - 协作式事件响应平台

图像分析

• Ghiro - 一个完全自动化的工具，旨在对大量图像进行取证分析
• sherloq - 一个开源数字摄影图像取证工具集

元数据取证

• ExifTool 由 Phil Harvey 开发
• FOCA - FOCA 是一个主要用于查找文档中的元数据和隐藏信息的工具

隐写术

• Sonicvisualizer
• Steghide - 是一个隐写程序，可以在各种图像和音频文件中隐藏数据
• Wavsteg - 是一个隐写程序，可以在各种图像和音频文件中隐藏数据
• Zsteg - WAV 文件的隐写编码器

学习取证

• 取证挑战 - 取证挑战思维导图
• OpenLearn - 数字取证课程
• 培训材料 - 欧洲网络和信息安全局提供的不同主题在线培训材料（如数字取证、网络取证）

CTF和挑战

• BelkaCTF - Belkasoft提供的CTF
• CyberDefenders
• DefCon CTFs - DEF CON CTF挑战存档
• 取证CTFs
• MagnetForensics CTF挑战
• MalwareTech挑战
• MemLabs
• NW3C挑战
• Precision Widgets of North Dakota入侵
• 逆向工程挑战

资源

网站

• ForensicsFocus
• Insecstitute资源
• SANS数字取证

博客

• FlashbackData
• Netresec
• SANS取证博客
• SecurityAffairs - Pierluigi Paganini的博客
• This Week In 4n6 - 每周取证更新
• Zena Forensics

书籍

更多内容请参见Andrew Case的推荐阅读

• 网络取证：通过网络空间追踪黑客 - 学习识别黑客的踪迹并发现基于网络的证据
• 内存取证的艺术 - 检测Windows、Linux和Mac内存中的恶意软件和威胁
• 网络安全监控实践 - 理解事件检测和响应

文件系统语料库

• 数字取证挑战镜像 - 两个带有镜像的DFIR挑战
• 数字取证工具测试镜像
• CFReDS项目
  • 黑客案例（4.5 GB NTFS镜像）

其他

• /r/computerforensics/ - 计算机取证子版块
• ForensicPosters - 文件系统结构海报
• SANS海报 - SANS提供的免费海报

实验室

• BlueTeam.Lab - 使用Terraform和Ansible在Azure中创建的蓝队检测实验室

相关Awesome列表

• Android安全
• 应用安全
• CTFs
• 黑客
• 蜜罐
• 事件响应
• 信息安全
• 恶意软件分析
• 渗透测试
• 安全
• 社会工程
• YARA

贡献

欢迎提出拉取请求和建议！