整合營銷服務(wù)商
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
電腦端+手機(jī)端+微信端=數(shù)據(jù)同步管理
免費(fèi)咨詢熱線:
于安全事件響應(yīng)的工具與資源的列表,旨在幫助安全分析師與 DFIR 團(tuán)隊(duì)。 -- Meirwah
本文導(dǎo)航
-工具集 …… 01%
-書籍 …… 22%
-社區(qū) …… 24%
-磁盤鏡像創(chuàng)建工具 …… 26%
-證據(jù)收集 …… 30%
-應(yīng)急管理 …… 34%
-Linux 發(fā)行版 …… 38%
-Linux 證據(jù)收集 …… 46%
-日志分析工具 …… 47%
-內(nèi)存分析工具 …… 48%
-內(nèi)存鏡像工具 …… 57%
-OSX 證據(jù)收集 …… 60%
-其他工具 …… 62%
-Playbooks …… 73%
-進(jìn)程 Dump 工具 …… 76%
-沙盒/逆向工具 …… 78%
-時(shí)間線工具 …… 84%
-視頻 …… 87%
-Windows 證據(jù)收集 …… 88%
轉(zhuǎn)載自: https://github.com/meirwah/awesome-incident-response作者: Meirwah
用于安全事件響應(yīng)的工具與資源的列表,旨在幫助安全分析師與 DFIR[1] 團(tuán)隊(duì)。
Belkasoft Evidence Center[3] - 該工具包通過分析硬件驅(qū)動(dòng)、驅(qū)動(dòng)鏡像、內(nèi)存轉(zhuǎn)儲(chǔ)、iOS、黑莓與安卓系統(tǒng)備份、UFED、JTAG 與 chip-off 轉(zhuǎn)儲(chǔ)來快速從多個(gè)源提取數(shù)字證據(jù)
CimSweep[4] - CimSweep 是一套基于 CIM/WMI 的工具,能夠在所有版本的 Windows 上執(zhí)行遠(yuǎn)程事件響應(yīng)
CIRTkit[5] - CIRTKit 不僅是一個(gè)工具集合,更是一個(gè)框架,幫助在事件響應(yīng)與取證調(diào)查過程中統(tǒng)一
Cyber Triage[6] - Cyber Triage 遠(yuǎn)程收集/分析終端數(shù)據(jù),以幫助確定計(jì)算機(jī)是否被入侵。其專注易用性與自動(dòng)化,采用無代理方法使公司在沒有重大基礎(chǔ)設(shè)施/沒有取證專家團(tuán)隊(duì)的情況下做出響應(yīng),其結(jié)果用于決定是否應(yīng)該被擦除或者進(jìn)行進(jìn)一步調(diào)查
Digital Forensics Framework[7] - DFF 是一個(gè)建立在專用 API 之上的開源計(jì)算機(jī)取證框架,DFF 提出了一種替代目前老舊的數(shù)字取證解決方案,其設(shè)計(jì)簡單/更加自動(dòng)化,通過 DFF 接口可以幫助用戶進(jìn)行數(shù)字調(diào)查取證的主要步驟,專業(yè)與非專業(yè)人員都可以快速的進(jìn)行數(shù)字取證并執(zhí)行事件響應(yīng)
Doorman[8] - Doorman 是一個(gè) osquery 的管理平臺(tái),可以遠(yuǎn)程管理節(jié)點(diǎn)的 osquery 配置。它利用 osquery 的 TLS 配置/記錄器/分布式讀寫等優(yōu)勢為管理員提供最小開銷的管理
Envdb[9] - Envdb 將你的生產(chǎn)/開發(fā)/云等環(huán)境變成數(shù)據(jù)庫集群,你可以使用 osquery 作為基礎(chǔ)搜索,它可以和集群中心節(jié)點(diǎn)包裝 osquery 的查詢過程
Falcon Orchestrator[10] - Falcon Orchestrator 是由 CrowdStrike 提供的一個(gè)基于 Windows 可擴(kuò)展的應(yīng)用程序,提供工作流自動(dòng)化、案例管理與安全應(yīng)急響應(yīng)等功能
FIDO[11] - Netflix 開發(fā)的 Fully Integrated Defense Operation (FIDO) 用于自動(dòng)化評估/響應(yīng)惡意軟件入侵響應(yīng)過程,F(xiàn)IDO 的主要目的是協(xié)助處理大量的手動(dòng)工作來評估對安全堆棧的威脅與生成的大量警報(bào)
GRR Rapid Response[12] - GRR Rapid Response 是一個(gè)用來遠(yuǎn)程現(xiàn)場取證的應(yīng)急響應(yīng)框架,其帶有一個(gè)可以管理客戶端的 Python 編寫的服務(wù)器
Kolide[13] - Kolide 是一個(gè)無代理的 osquery Web 接口與遠(yuǎn)程 API 服務(wù)器,Kolide 作為 Envdb 替代品的設(shè)計(jì)理念就是極度便攜(僅有一個(gè)可執(zhí)行程序),在保持代碼簡單的情況下保持性能
Limacharlie[14] - 一個(gè)終端安全平臺(tái),它本身是一個(gè)小項(xiàng)目的集合,并提供了一個(gè)跨平臺(tái)的低級環(huán)境,你可以管理并推送附加功能進(jìn)入內(nèi)存給程序擴(kuò)展功能
MIG[15] - Mozilla Investigator (MIG) 是一個(gè)在遠(yuǎn)程終端執(zhí)行調(diào)查的平臺(tái),它可以在大量系統(tǒng)中并行獲取數(shù)據(jù),從而加速事故調(diào)查與保證日常業(yè)務(wù)安全
MozDef[16] - Mozilla Defense Platform (MozDef) 旨在幫助安全事件處理自動(dòng)化,并促進(jìn)事件的實(shí)時(shí)處理
nightHawk[17] - nightHawk Response Platform 是一個(gè)以 ElasticSearch 為后臺(tái)的異步取證數(shù)據(jù)呈現(xiàn)的應(yīng)用程序,設(shè)計(jì)與 Redline 配合調(diào)查
Open Computer Forensics Architecture[18] - Open Computer Forensics Architecture (OCFA) 是另一個(gè)分布式開源計(jì)算機(jī)取證框架,這個(gè)框架建立在 Linux 平臺(tái)上,并使用 postgreSQL 數(shù)據(jù)庫來存儲(chǔ)數(shù)據(jù)
Osquery[19] - osquery 可以找到 Linux 與 OSX 基礎(chǔ)設(shè)施的問題,無論你是要入侵檢測還是基礎(chǔ)架構(gòu)可靠性檢查 osquery 都能夠幫助你提高公司內(nèi)部的安全組織能力, incident-response pack 可以幫助你進(jìn)行檢測/響應(yīng)活動(dòng)
Redline[20] - 為用戶提供主機(jī)調(diào)查工具,通過內(nèi)存與文件分析來找到惡意行為的活動(dòng)跡象,包括對威脅評估配置文件的開發(fā)
The Sleuth Kit & Autopsy[21] - Sleuth Kit 是基于 Unix 和 Windows 的工具,可以幫助計(jì)算機(jī)取證分析,其中包含各種協(xié)助取證的工具,比如分析磁盤鏡像、文件系統(tǒng)深度分析等
TheHive[22] - TheHive 是一個(gè)可擴(kuò)展的三個(gè)一開源解決方案,旨在讓 SOC、CSIRT、CERT 或其他任何信息安全從業(yè)人員方便的進(jìn)行安全事件調(diào)查
X-Ways Forensics[23] - X-Ways 是一個(gè)用于磁盤克隆、鏡像的工具,可以查找已經(jīng)刪除的文件并進(jìn)行磁盤分析
Zentral[24] - 與 osquery 強(qiáng)大的端點(diǎn)清單保護(hù)能力相結(jié)合,通知與行動(dòng)都靈活的框架,可以快速對 OS X 與 Linux 客戶機(jī)上的更改做出識(shí)別與響應(yīng)
Dfir intro[26] - 作者:Scott J. Roberts
The Practice of Network Security Monitoring: Understanding Incident Detection and Response[27] - 作者:Richard Bejtlich
Sans DFIR mailing list[29] - Mailing list by SANS for DFIR
Slack DFIR channel[30] - Slack DFIR Communitiy channel - Signup here[31]
AccessData FTK Imager[33] - AccessData FTK Imager 是一個(gè)從任何類型的磁盤中預(yù)覽可恢復(fù)數(shù)據(jù)的取證工具,F(xiàn)TK Imager 可以在 32/64 位系統(tǒng)上實(shí)時(shí)采集內(nèi)存與頁面文件
GetData Forensic Imager[34] - GetData Forensic Imager 是一個(gè)基于 Windows 程序,將常見的文件格式進(jìn)行獲取/轉(zhuǎn)換/驗(yàn)證取證
Guymager[35] - Guymager 是一個(gè)用于 Linux 上媒體采集的免費(fèi)鏡像取證器
Magnet ACQUIRE[36] - Magnet Forensics 開發(fā)的 ACQUIRE 可以在不同類型的磁盤上執(zhí)行取證,包括 Windows/Linux/OS X 與移動(dòng)操作系統(tǒng)
bulk_extractor[38] - bulk_extractor 是一個(gè)計(jì)算機(jī)取證工具,可以掃描磁盤映像、文件、文件目錄,并在不解析文件系統(tǒng)或文件系統(tǒng)結(jié)構(gòu)的情況下提取有用的信息,由于其忽略了文件系統(tǒng)結(jié)構(gòu),程序在速度和深入程度上都有了很大的提高
Cold Disk Quick Response[39] - 使用精簡的解析器列表來快速分析取證鏡像文件(dd, E01, .vmdk, etc)并輸出報(bào)告
ir-rescue[40] - ir-rescue 是一個(gè) Windows 批處理腳本與一個(gè) Unix Bash 腳本,用于在事件響應(yīng)期在主機(jī)全面收集證據(jù)
Live Response Collection[41] - BriMor 開發(fā)的 Live Response collection 是一個(gè)用于從各種操作系統(tǒng)中收集易失性數(shù)據(jù)的自動(dòng)化工具
FIR[43] - Fast Incident Response (FIR) 是一個(gè)網(wǎng)絡(luò)安全應(yīng)急管理平臺(tái),在設(shè)計(jì)時(shí)考慮了敏捷性與速度。其可以輕松創(chuàng)建、跟蹤、報(bào)告網(wǎng)絡(luò)安全應(yīng)急事件并用于 CSIRT、CERT 與 SOC 等人員
RTIR[44] - Request Tracker for Incident Response (RTIR) 對于安全團(tuán)隊(duì)來說是首要的開源應(yīng)急處理系統(tǒng),其與世界各地的十多個(gè) CERT 與 CSIRT 合作,幫助處理不斷增加的事件報(bào)告,RTIR 包含 Request Tracker 的全部功能
SCOT[45] - Sandia Cyber Omni Tracker (SCOT) 是一個(gè)應(yīng)急響應(yīng)協(xié)作與知識(shí)獲取工具,為事件響應(yīng)的過程在不給用戶帶來負(fù)擔(dān)的情況下增加價(jià)值
threat_note[46] - 一個(gè)輕量級的調(diào)查筆記,允許安全研究人員注冊、檢索他們需要的 IOC 數(shù)據(jù)
ADIA[48] - Appliance for Digital Investigation and Analysis (ADIA) 是一個(gè)基于 VMware 的應(yīng)用程序,用于進(jìn)行數(shù)字取證。其完全由公開軟件構(gòu)建,包含的工具有 Autopsy/Sleuth Kit/Digital Forensics Framework/log2timeline/Xplico/Wireshark 大多數(shù)系統(tǒng)維護(hù)使用 Webmin。可在各種系統(tǒng)下進(jìn)行使用
CAINE[49] - Computer Aided Investigative Environment (CAINE) 包含許多幫助調(diào)查人員進(jìn)行分析的工具,包括取證工具
DEFT[50] - Digital Evidence & Forensics Toolkit (DEFT) 是一個(gè)用于計(jì)算機(jī)取證的 Linux 發(fā)行版,它與 Windows 上的 Digital Advanced Response Toolkit (DART) 捆綁在一起。DEFT 的輕量版被成為 DEFT Zero
NST - Network Security Toolkit[51] - 包括大量的優(yōu)秀開源網(wǎng)絡(luò)安全應(yīng)用程序的 Linux 發(fā)行版
PALADIN[52] - PALADIN 是一個(gè)附帶許多開源取證工具的改 Linux 發(fā)行版,用于在法庭上以正確的方式執(zhí)行取證任務(wù)
Security Onion[53] - Security Onion 是一個(gè)特殊的 Linux 發(fā)行版,旨在利用高級的分析工具進(jìn)行網(wǎng)絡(luò)安全監(jiān)控
SIFT Workstation[54] - SANS Investigative Forensic Toolkit (SIFT) 使用優(yōu)秀開源工具以實(shí)現(xiàn)高級事件響應(yīng)與入侵深度數(shù)字取證,這些功能免費(fèi)提供,并且經(jīng)常更新
FastIR Collector Linux[56] - FastIR 在 Linux 系統(tǒng)上收集不同的信息并將結(jié)果存入 CSV 文件
Lorg[58] - 一個(gè)用 HTTPD 日志進(jìn)行高級安全分析與取證的工具
Evolve[60] - Volatility 內(nèi)存取證框架的 Web 界面
inVtero.net[61] - 支持 hypervisor 的 Windows x64 高級內(nèi)存分析
KnTList[62] - 計(jì)算機(jī)內(nèi)存分析工具
LiME[63] - LiME 是 Loadable Kernel Module (LKM),可以從 Linux 以及基于 Linux 的設(shè)備采集易失性內(nèi)存數(shù)據(jù)
Memoryze[64] - 由 Mandiant 開發(fā)的 Memoryze 是一個(gè)免費(fèi)的內(nèi)存取證軟件,可以幫助應(yīng)急響應(yīng)人員在內(nèi)存中定位惡意部位, Memoryze 也可以分析內(nèi)存鏡像或者裝成帶有許多分析插件的系統(tǒng)
Memoryze for Mac[65] - Memoryze for Mac 是 Memoryze 但僅限于 Mac,且功能較少
Rekall[66] - 用于從 RAM 中提取樣本的開源工具
Responder PRO[67] - Responder PRO 是一個(gè)工業(yè)級的物理內(nèi)存及自動(dòng)化惡意軟件分析解決方案
Volatility[68] - 高級內(nèi)存取證框架
VolatilityBot[69] - VolatilityBot 是一個(gè)自動(dòng)化工具,幫助研究員減少在二進(jìn)制程序提取解析階段的手動(dòng)任務(wù),或者幫助研究人員進(jìn)行內(nèi)存分析調(diào)查的第一步
WindowsSCOPE[70] - 一個(gè)用來分析易失性內(nèi)存的取證與逆向工程工具,被用于對惡意軟件進(jìn)行逆向分析,提供了分析 Windows 內(nèi)核/驅(qū)動(dòng)程序/DLL/虛擬與物理內(nèi)存的功能
Belkasoft Live RAM Capturer[72] - 輕量級取證工具,即使有反調(diào)試/反轉(zhuǎn)儲(chǔ)的系統(tǒng)保護(hù)下也可以方便地提取全部易失性內(nèi)存的內(nèi)容
Linux Memory Grabber[73] - 用于 dump Linux 內(nèi)存并創(chuàng)建 Volatility 配置文件的腳本
Magnet RAM Capture[74] - Magnet RAM Capture 是一個(gè)免費(fèi)的鏡像工具,可以捕獲可疑計(jì)算機(jī)中的物理內(nèi)存,支持最新版的 Windows
OSForensics[75] - OSForensics 可以獲取 32/64 位系統(tǒng)的實(shí)時(shí)內(nèi)存,可以將每個(gè)獨(dú)立進(jìn)程的內(nèi)存空間 dump 下來
Knockknock[77] - 顯示那些在 OSX 上被設(shè)置為自動(dòng)執(zhí)行的那些腳本、命令、程序等
OSX Auditor[78] - OSX Auditor 是一個(gè)面向 Mac OS X 的免費(fèi)計(jì)算機(jī)取證工具
OSX Collector[79] - OSX Auditor 的實(shí)時(shí)響應(yīng)版
Cortex[81] - Cortex 可以通過 Web 界面逐個(gè)或批量對 IP 地址/郵件地址/URL/域名/文件哈希的分析,還可以使用 REST API 來自動(dòng)執(zhí)行這些操作
Crits[82] - 一個(gè)將分析引擎與網(wǎng)絡(luò)威脅數(shù)據(jù)庫相結(jié)合且?guī)в?Web 界面的工具
Fenrir[83] - Fenrir 是一個(gè)簡單的 IOC 掃描器,可以在純 bash 中掃描任意 Linux/Unix/OSX 系統(tǒng),由 THOR 與 LOKI 的開發(fā)者創(chuàng)作
Fileintel[84] - 為每個(gè)文件哈希值提供情報(bào)
Hindsight[85] - Google Chrome/Chromium 的互聯(lián)網(wǎng)
Hostintel[86] - 為每個(gè)主機(jī)提供情報(bào)
Kansa[87] - Kansa 是一個(gè) PowerShell 的模塊化應(yīng)急響應(yīng)框架
rastrea2r[88] - 使用 YARA 在 Windows、Linux 與 OS X 上掃描硬盤或內(nèi)存
RaQet[89] - RaQet 是一個(gè)非常規(guī)的遠(yuǎn)程采集與分類工具,允許對那些為取證構(gòu)建的操作系統(tǒng)進(jìn)行遠(yuǎn)端計(jì)算機(jī)的遴選
Stalk[90] - 收集關(guān)于 MySQL 的取證數(shù)據(jù)
SearchGiant[91] - 從云服務(wù)中獲取取證數(shù)據(jù)的命令行程序
Stenographer[92] - Stenographer 是一個(gè)數(shù)據(jù)包捕獲解決方案,旨在快速將全部數(shù)據(jù)包轉(zhuǎn)儲(chǔ)到磁盤中,然后提供對這些數(shù)據(jù)包的快速訪問。它存儲(chǔ)盡可能多的歷史記錄并且管理磁盤的使用情況,在磁盤受限被觸發(fā)時(shí)執(zhí)行既定策略,非常適合在事件發(fā)生前與發(fā)生中捕獲流量,而不是顯式存儲(chǔ)所有流量
traceroute-circl[93] - 由 Computer Emergency Responce Center Luxembourg 開發(fā)的 traceroute-circl 是一個(gè)增強(qiáng)型的 traceroute 來幫助 CSIRT/CERT 的工作人員,通常 CSIRT 團(tuán)隊(duì)必須根據(jù)收到的 IP 地址處理事件
X-Ray 2.0[94] - 一個(gè)用來向反病毒廠商提供樣本的 Windows 實(shí)用工具(幾乎不再維護(hù))
Demisto Playbooks Collection[96] - Playbook 收集
IR Workflow Gallery[97] - 不同的通用事件響應(yīng)工作流程,例如惡意軟件爆發(fā)/數(shù)據(jù)竊取/未經(jīng)授權(quán)的訪問等,每個(gè)工作流程都有七個(gè)步驟:準(zhǔn)備/檢測/分析/遏制/根除/恢復(fù)/事后處理
PagerDuty Incident Response Documentation[98] - 描述 PagerDuty 應(yīng)急響應(yīng)過程的文檔,不僅提供了關(guān)于事件準(zhǔn)備的信息,還提供了在此前與之后要做什么工作,源在 GitHub[99] 上
Microsoft User Mode Process Dumper[101] - 用戶模式下的進(jìn)程 dump 工具,可以 dump 任意正在運(yùn)行的 Win32 進(jìn)程內(nèi)存映像
PMDump[102] - PMDump 是一個(gè)可以在不停止進(jìn)程的情況下將進(jìn)程的內(nèi)存內(nèi)容 dump 到文件中的工具
Cuckoo - 開源沙盒工具
Cuckoo-modified[104] - 社區(qū)基于 Cuckoo 的大修版
Cuckoo-modified-api[105] - 一個(gè)用來控制 Cuckoo 沙盒設(shè)置的 Python 庫
Hybrid-Analysis[106] - Hybrid-Analysis 是一個(gè)由 Payload Security 提供的免費(fèi)在線沙盒
Malwr[107] - Malwr 是由 Cuckoo 沙盒提供支持的一個(gè)免費(fèi)在線惡意軟件分析服務(wù)
Mastiff[108] - MASTIFF 是一個(gè)靜態(tài)分析框架,可以自動(dòng)化的從多種文件格式中提取關(guān)鍵特征
Viper[109] - Viper 是一個(gè)基于 Python 的二進(jìn)制程序分析及管理框架,支持 Cuckoo 與 YARA
Virustotal[110] - Virustotal, Google 的子公司,一個(gè)免費(fèi)在線分析文件/URL的廠商,可以分析病毒/蠕蟲/木馬以及其他類型被反病毒引擎或網(wǎng)站掃描器識(shí)別的惡意內(nèi)容
Visualize_Logs[111] - Cuckoo、Procmon等日志的開源可視化庫
Highlighter[113] - Fire/Mandiant 開發(fā)的免費(fèi)工具,用來分析日志/文本文件,可以對某些關(guān)鍵字或短語進(jìn)行高亮顯示,有助于時(shí)間線的整理
Plaso[114] - 一個(gè)基于 Python 用于 log2timeline 的后端引擎
Timesketch[115] - 協(xié)作取證時(shí)間線分析的開源工具
Demisto IR video resources[117] - 應(yīng)急響應(yīng)與取證分析的視頻資源
The Future of Incident Response[118] - Bruce Schneier 在 OWASP AppSecUSA 2015 上的分享
AChoir[120] - Achoir 是一個(gè)將對 Windows 的實(shí)時(shí)采集工具腳本化變得更標(biāo)準(zhǔn)與簡單的框架
Binaryforay[121] - 一個(gè) Windows 取證的免費(fèi)工具列表 (http://binaryforay.blogspot.co.il/)
Crowd Response[122] - 由 CrowdStrike 開發(fā)的 Crowd Response 是一個(gè)輕量級 Windows 終端應(yīng)用,旨在收集用于應(yīng)急響應(yīng)與安全操作的系統(tǒng)信息,其包含許多模塊與輸出格式
FastIR Collector[123] - FastIR Collector 在 Windows 系統(tǒng)中實(shí)時(shí)收集各種信息并將結(jié)果記錄在 CSV 文件中,通過對這些信息的分析,我們可以發(fā)現(xiàn)早期的入侵痕跡
FECT[124] - Fast Evidence Collector Toolkit (FECT) 是一個(gè)輕量級的應(yīng)急響應(yīng)工具集,用于在可疑的 Windows 計(jì)算機(jī)上取證,它可以讓非技術(shù)調(diào)查人員更專業(yè)的進(jìn)行應(yīng)急處理
Fibratus[125] - 利用與跟蹤 Windows 內(nèi)核的工具
IOC Finder[126] - IOC Finder 是由 Mandiant 開發(fā)的免費(fèi)工具,用來收集主機(jī)數(shù)據(jù)并報(bào)告存在危險(xiǎn)的 IOC
Fidelis ThreatScanner[127] - Fidelis ThreatScanner 是一個(gè)由 Fidelis Cybersecurity 開發(fā)的免費(fèi)工具,使用 OpenIOC 和 YARA 來報(bào)告終端設(shè)備的安全狀態(tài),ThreatScanner 衡量系統(tǒng)的運(yùn)行狀態(tài)后會(huì)出具匹配情況的報(bào)告,僅限 Windows
LOKI[128] - Loki 是一個(gè)使用 YARA 與其他 IOC 對終端進(jìn)行掃描的免費(fèi) IR 掃描器
PowerForensics[129] - PowerShell 開發(fā)的實(shí)時(shí)硬盤取證框架
PSRecon[130] - PSRecon 使用 PowerShell 在遠(yuǎn)程 Windows 主機(jī)上提取/整理數(shù)據(jù),并將數(shù)據(jù)發(fā)送到安全團(tuán)隊(duì),數(shù)據(jù)可以通過郵件來傳送數(shù)據(jù)或者在本地留存
RegRipper[131] - Regripper 是用 Perl 編寫的開源工具,可以從注冊表中提取/解析數(shù)據(jù)(鍵/值/數(shù)據(jù))提供分析
TRIAGE-IR[132] - Triage-IR 是一個(gè) Windows 下的 IR 收集工具
(題圖來自:securityledger.com[133])
[1]: DFIR - http://www.acronymfinder.com/Digital-Forensics%2c-Incident-Response-(DFIR).html
[2]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#工具集
[3]: Belkasoft Evidence Center - https://belkasoft.com/ec
[4]: CimSweep - https://github.com/PowerShellMafia/CimSweep
[5]: CIRTkit - https://github.com/byt3smith/CIRTKit
[6]: Cyber Triage - http://www.cybertriage.com/
[7]: Digital Forensics Framework - http://www.arxsys.fr/discover/
[8]: Doorman - https://github.com/mwielgoszewski/doorman
[9]: Envdb - https://github.com/mephux/envdb
[10]: Falcon Orchestrator - https://github.com/CrowdStrike/falcon-orchestrator
[11]: FIDO - https://github.com/Netflix/Fido
[12]: GRR Rapid Response - https://github.com/google/grr
[13]: Kolide - https://github.com/mephux/kolide
[14]: Limacharlie - https://github.com/refractionpoint/limacharlie
[15]: MIG - http://mig.mozilla.org/
[16]: MozDef - https://github.com/mozilla/MozDef
[17]: nightHawk - https://github.com/biggiesmallsAG/nightHawkResponse
[18]: Open Computer Forensics Architecture - http://sourceforge.net/projects/ocfa/
[19]: Osquery - https://osquery.io/
[20]: Redline - https://www.fireeye.com/services/freeware/redline.html
[21]: The Sleuth Kit & Autopsy - http://www.sleuthkit.org/
[22]: TheHive - https://thehive-project.org/
[23]: X-Ways Forensics - http://www.x-ways.net/forensics/
[24]: Zentral - https://github.com/zentralopensource/zentral
[25]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#書籍
[26]: Dfir intro - http://sroberts.github.io/2016/01/11/introduction-to-dfir-the-beginning/
[27]: The Practice of Network Security Monitoring: Understanding Incident Detection and Response - http://www.amazon.com/gp/product/1593275099
[28]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#社區(qū)
[29]: Sans DFIR mailing list - https://lists.sans.org/mailman/listinfo/dfir
[30]: Slack DFIR channel - https://dfircommunity.slack.com/
[31]: Signup here - https://rishi28.typeform.com/to/sTbTI8
[32]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#磁盤鏡像創(chuàng)建工具
[33]: AccessData FTK Imager - http://accessdata.com/product-download/?/support/adownloads#FTKImager
[34]: GetData Forensic Imager - http://www.forensicimager.com/
[35]: Guymager - http://guymager.sourceforge.net/
[36]: Magnet ACQUIRE - https://www.magnetforensics.com/magnet-acquire/
[37]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#證據(jù)收集
[38]: bulk_extractor - https://github.com/simsong/bulk_extractor
[39]: Cold Disk Quick Response - https://github.com/rough007/CDQR
[40]: ir-rescue - https://github.com/diogo-fernan/ir-rescue
[41]: Live Response Collection - https://www.brimorlabs.com/tools/
[42]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#應(yīng)急管理
[43]: FIR - https://github.com/certsocietegenerale/FIR/
[44]: RTIR - https://www.bestpractical.com/rtir/
[45]: SCOT - http://getscot.sandia.gov/
[46]: threat_note - https://github.com/defpoint/threat_note
[47]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#linux-發(fā)行版
[48]: ADIA - https://forensics.cert.org/#ADIA
[49]: CAINE - http://www.caine-live.net/index.html
[50]: DEFT - http://www.deftlinux.net/
[51]: NST - Network Security Toolkit - https://sourceforge.net/projects/nst/files/latest/download?source=files
[52]: PALADIN - https://sumuri.com/software/paladin/
[53]: Security Onion - https://github.com/Security-Onion-Solutions/security-onion
[54]: SIFT Workstation - http://digital-forensics.sans.org/community/downloads
[55]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#linux-證據(jù)收集
[56]: FastIR Collector Linux - https://github.com/SekoiaLab/Fastir_Collector_Linux
[57]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#日志分析工具
[58]: Lorg - https://github.com/jensvoid/lorg
[59]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#內(nèi)存分析工具
[60]: Evolve - https://github.com/JamesHabben/evolve
[61]: inVtero.net - https://github.com/ShaneK2/inVtero.net
[62]: KnTList - http://www.gmgsystemsinc.com/knttools/
[63]: LiME - https://github.com/504ensicsLabs/LiME
[64]: Memoryze - https://www.fireeye.com/services/freeware/memoryze.html
[65]: Memoryze for Mac - https://www.fireeye.com/services/freeware/memoryze-for-the-mac.html
[66]: Rekall - http://www.rekall-forensic.com/
[67]: Responder PRO - http://www.countertack.com/responder-pro
[68]: Volatility - https://github.com/volatilityfoundation/volatility
[69]: VolatilityBot - https://github.com/mkorman90/VolatilityBot
[70]: WindowsSCOPE - http://www.windowsscope.com/index.php?page=shop.product_details&flypage=flypage.tpl&product_id=35&category_id=3&option=com_virtuemart
[71]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#內(nèi)存鏡像工具
[72]: Belkasoft Live RAM Capturer - http://belkasoft.com/ram-capturer
[73]: Linux Memory Grabber - https://github.com/halpomeranz/lmg/
[74]: Magnet RAM Capture - https://www.magnetforensics.com/free-tool-magnet-ram-capture/
[75]: OSForensics - http://www.osforensics.com/
[76]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#osx-證據(jù)收集
[77]: Knockknock - https://github.com/synack/knockknock
[78]: OSX Auditor - https://github.com/jipegit/OSXAuditor
[79]: OSX Collector - https://github.com/yelp/osxcollector
[80]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#其他工具
[81]: Cortex - https://thehive-project.org/
[82]: Crits - https://crits.github.io/
[83]: Fenrir - https://github.com/Neo23x0/Fenrir
[84]: Fileintel - https://github.com/keithjjones/fileintel
[85]: Hindsight - https://github.com/obsidianforensics/hindsight
[86]: Hostintel - https://github.com/keithjjones/hostintel
[87]: Kansa - https://github.com/davehull/Kansa/
[88]: rastrea2r - https://github.com/aboutsecurity/rastrea2r
[89]: RaQet - https://raqet.github.io/
[90]: Stalk - https://www.percona.com/doc/percona-toolkit/2.2/pt-stalk.html
[91]: SearchGiant - https://github.com/jadacyrus/searchgiant_cli
[92]: Stenographer - https://github.com/google/stenographer
[93]: traceroute-circl - https://github.com/CIRCL/traceroute-circl
[94]: X-Ray 2.0 - https://www.raymond.cc/blog/xray/
[95]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#playbooks
[96]: Demisto Playbooks Collection - https://www.demisto.com/category/playbooks/
[97]: IR Workflow Gallery - https://www.incidentresponse.com/playbooks/
[98]: PagerDuty Incident Response Documentation - https://response.pagerduty.com/
[99]: GitHub - https://github.com/PagerDuty/incident-response-docs
[100]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#進(jìn)程-dump-工具
[101]: Microsoft User Mode Process Dumper - http://www.microsoft.com/en-us/download/details.aspx?id=4060
[102]: PMDump - http://www.ntsecurity.nu/toolbox/pmdump/
[103]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#沙盒逆向工具
[104]: Cuckoo-modified - https://github.com/spender-sandbox/cuckoo-modified
[105]: Cuckoo-modified-api - https://github.com/keithjjones/cuckoo-modified-api
[106]: Hybrid-Analysis - https://www.hybrid-analysis.com/
[107]: Malwr - https://malwr.com/
[108]: Mastiff - https://github.com/KoreLogicSecurity/mastiff
[109]: Viper - https://github.com/viper-framework/viper
[110]: Virustotal - https://www.virustotal.com/
[111]: Visualize_Logs - https://github.com/keithjjones/visualize_logs
[112]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#時(shí)間線工具
[113]: Highlighter - https://www.fireeye.com/services/freeware/highlighter.html
[114]: Plaso - https://github.com/log2timeline/plaso
[115]: Timesketch - https://github.com/google/timesketch
[116]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#視頻
[117]: Demisto IR video resources - https://www.demisto.com/category/videos/
[118]: The Future of Incident Response - https://www.youtube.com/watch?v=bDcx4UNpKNc
[119]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#windows-證據(jù)收集
[120]: AChoir - https://github.com/OMENScan/AChoir
[121]: Binaryforay - http://binaryforay.blogspot.co.il/p/software.html
[122]: Crowd Response - http://www.crowdstrike.com/community-tools/
[123]: FastIR Collector - https://github.com/SekoiaLab/Fastir_Collector
[124]: FECT - https://github.com/jipegit/FECT
[125]: Fibratus - https://github.com/rabbitstack/fibratus
[126]: IOC Finder - https://www.fireeye.com/services/freeware/ioc-finder.html
[127]: Fidelis ThreatScanner - https://www.fidelissecurity.com/resources/fidelis-threatscanner
[128]: LOKI - https://github.com/Neo23x0/Loki
[129]: PowerForensics - https://github.com/Invoke-IR/PowerForensics
[130]: PSRecon - https://github.com/gfoss/PSRecon/
[131]: RegRipper - https://code.google.com/p/regripper/wiki/RegRipper
[132]: TRIAGE-IR - https://code.google.com/p/triage-ir/
[133]: securityledger.com - https://securityledger.com
選4款PDF閱讀器推薦給大家
親測好用、免費(fèi)!
一定要收藏!
直達(dá)鏈接>>>https://www.xunjiepdf.com/editor
迅捷 PDF 編輯器是一款功能強(qiáng)大的 PDF 工具,除了強(qiáng)大的閱讀、編輯能力外,它還支持PDF轉(zhuǎn)換,它可以將 PDF 文件轉(zhuǎn)換為其他常用格式,如 Office 文檔、HTML、TXT、圖片等,反之亦然。同時(shí),此外還有眾多PDF小工具,如 PDF壓縮、合并、拆分、加密、圖片提取等,是一款功能非常全面的PDF軟件。
用它進(jìn)行PDF閱讀,點(diǎn)擊屏幕,底部就會(huì)出現(xiàn)后續(xù)頁面,可以快速翻頁,同時(shí)有一系列壓縮、簽名、加密等功能可使用;點(diǎn)擊右上角“...”可以搜索內(nèi)容、設(shè)置查看書簽、總覽PDF等;點(diǎn)擊“紙張”還可以對PDF進(jìn)行簡單的標(biāo)記,功能全面且實(shí)用。
直達(dá)鏈接>>>https://www.fir.ai/
一款支持網(wǎng)頁和客戶端的使用的PF閱讀器,從軟件也知道它最大的亮點(diǎn)是邊寫邊搜,尤其是搜索功能,在看文獻(xiàn)的時(shí)候,這款軟件非常好用!上傳文檔打開可以進(jìn)行摘要、點(diǎn)亮,右側(cè)還可以直接對照閱讀,直觀高效!
下載鏈接>>>https://apps.apple.com/cn/app/apple-books/id364709193
圖書是iPad自帶的閱讀軟件,只需要借助百度網(wǎng)盤就可以輕松上傳PDF到圖書上。在圖書上閱讀的體驗(yàn)感更好,同時(shí)也支持免費(fèi)做筆記。
官網(wǎng)鏈接>>>https://xodo.com/zh_cn
一款免費(fèi)的PDF閱讀、編輯、多人協(xié)作軟件,有較強(qiáng)大的PDF編輯功能,支持PDF標(biāo)注、評論、注釋、繪畫、筆記等操作。
以上就是全部的內(nèi)容推薦啦,如果有幫助,記得點(diǎn)個(gè)贊吖~
2019年深圳童影文化傳媒有限公司、十方舟企業(yè)管理(深圳)有限公司深度合作推出 專屬于童影傳媒5G時(shí)代新教育線上線下完美結(jié)合的知識(shí)短視頻
定制版 APP 童影童年 現(xiàn)已經(jīng)正式上線vivo、oppo手機(jī)應(yīng)用商店、小米手機(jī)應(yīng)用市場、百度手機(jī)應(yīng)用市場
您也可以點(diǎn)擊進(jìn)入鏈接下載:https://fir.im/tongyingtongnian
或者網(wǎng)頁搜索“童影童年”如下圖
360網(wǎng)頁搜索“童影童年”
小米應(yīng)用商店手機(jī)打開頁面
蘋果系統(tǒng)下載方式
第一步打開鏈接:https://fir.im/
注冊步驟(如下圖)
實(shí)名認(rèn)證提交后,
等待通過審核就可以使用啦
(App進(jìn)入后界面展示)
童影童年APP——一款專屬于童影傳媒的手機(jī)軟件,線上線下新教學(xué)模式,目前童影全部導(dǎo)師已陸續(xù)入駐APP成為金牌知識(shí)代言人;并且童影傳媒以往活動(dòng)視頻、童星MV、演出、線上教學(xué)等視頻都將會(huì)APP展示。更多精彩視頻敬請期待哦~
(App手機(jī)界面展示)
十方舟平臺(tái)介紹——十方舟企業(yè)管理(深圳)有限公司出品的知識(shí)短視頻app,為您提供專業(yè)的知識(shí)內(nèi)容。簽約國內(nèi)知名教育專家為十方舟提供專業(yè)教育指導(dǎo)。
各界知名知識(shí)代言人、專業(yè)人士,利用碎片化的線上學(xué)習(xí)方式,結(jié)合線下的優(yōu)質(zhì)知識(shí)分享沙龍,讓用戶真正得到知識(shí)和身心的快速提升。精彩內(nèi)容主要有親子關(guān)系、家庭兩性、生命智慧、心理輔導(dǎo)、線下活動(dòng)踐行課等,另有其他豐富多樣的教育培訓(xùn)知識(shí)。隨時(shí)隨地,學(xué)我想學(xué)。
短視頻在線教育平臺(tái)
拍攝上傳短視頻,分享生活知識(shí),
成為您專業(yè)領(lǐng)域中的知識(shí)代言人,還可高效獲知有益知識(shí)
線上線下完美結(jié)合
不僅提供互聯(lián)網(wǎng)傳統(tǒng)的線上視頻知識(shí),也提供豐富的線下知識(shí)講座,
用戶在app上即可報(bào)名參與
社交式在線教育平臺(tái)
隨時(shí)隨地與知識(shí)代言人、學(xué)員互動(dòng),
交流知識(shí)學(xué)習(xí)心得,結(jié)交有相同求知欲的朋友
您還在等什么?
還不趁現(xiàn)在趕緊下載一個(gè)!!
*請認(rèn)真填寫需求信息,我們會(huì)在24小時(shí)內(nèi)與您取得聯(lián)系。
