Beagle事件响应和数字取证工具
Beagle是一个事件响应和数字取证工具,它将数据源和日志转换为图形。支持的数据源包括FireEye HX分类、Windows EVTX文件、Sysmon日志和原始Windows内存映像。生成的图形可以发送到图形数据库(如NEO4J或DGraph),也可以作为python networkx对象保存在本地。
Beagle 可作为一个 Python 开发包直接使用,或者通过其 Web 接口使用。
也可以作为函数调用:
>>> from beagle.datasources import SysmonEVTX >>> graph = SysmonEVTX("malicious.evtx").to_graph() >>> graph <networkx.classes.multidigraph.MultiDiGraph at 0x12700ee10>
>>> from beagle.backends import NetworkX >>> from beagle.datasources import SysmonEVTX >>> from beagle.transformers import SysmonTransformer >>> datasource = SysmonEVTX("malicious.evtx") # Transformers take a datasource, and transform each event # into a tuple of one or more nodes. >>> transformer = SysmonTransformer(datasource=datasource) >>> nodes = transformer.run() # Transformers output an array of nodes. [ (<SysMonProc> process_guid="{0ad3e319-0c16-59c8-0000-0010d47d0000}"), (<File> host="DESKTOP-2C3IQHO" full_path="C:\Windows\System32\services.exe"), ... ] # Backends take the nodes, and transform them into graphs >>> backend = NetworkX(nodes=nodes) >>> G = backend.graph() <networkx.classes.multidigraph.MultiDiGraph at 0x126b887f0>
评论
TSK数字取证命令行工具
TheSleuthKit®(TSK),也称之为 sleuthkit,是命令行工具,允许提取硬盘镜像信息。TSK的核心函数允许你分析卷和文件系统数据。可插拔的框架允许你结合其他模块来分析文件内容和构建自
TSK数字取证命令行工具
0
SIFT数字取证工具包
SIFT是SANS推出的数字取证工具包,SIFT以VMware虚拟映像的形式发布,里面集成了数字取证分析所有必须的工具。适用于ExpertWitnessFormat(E01),AdvancedFore
SIFT数字取证工具包
0
Autopsy数字取证平台
Autopsy®是数字取证平台,是 TheSleuthKit®和其他数字取证工具的图形化界面。它可以用来执法,军事和公司的检察官调查过程,用来检测电脑的情况,甚至可以用来恢复你相机存储卡的照片。主要提
Autopsy数字取证平台
0