用於安全事件回應的工具與資源的列表,旨在幫助安全分析師與 DFIR 團隊。 -- Meirwah
本文導航-工具集 …… 01%
-書籍 …… 22%
-社區 …… 24%
-磁片鏡像創建工具 …… 26%
-證據收集 …… 30%
-應急管理 …… 34%
-Linux 發行版本 …… 38%
-Linux 證據收集 …… 46%
-日誌分析工具 …… 47%
-記憶體分析工具 …… 48%
-記憶體鏡像工具 …… 57%
-OSX 證據收集 …… 60%
-其他工具 …… 62%
-Playbooks …… 73%
-進程 Dump 工具 …… 76%
-沙箱/逆向工具 …… 78%
-時間線工具 …… 84%
-視頻 …… 87%
-Windows 證據收集 …… 88%
轉載自: https://github.com/meirwah/awesome-incident-response作者: Meirwah
用於安全事件回應的工具與資源的列表, 旨在幫助安全分析師與 DFIR[1] 團隊。
[2]工具集Belkasoft Evidence Center[3] - 該工具包通過分析硬體驅動、驅動鏡像、記憶體傾印、iOS、黑莓與安卓系統備份、UFED、JTAG 與 chip-off 轉儲來快速從多個源提取數位證據
CimSweep[4] - CimSweep 是一套基於 CIM/WMI 的工具, 能夠在所有版本的 Windows 上執行遠端事件響應
CIRTkit[5] - CIRTKit 不僅是一個工具集合, 更是一個框架, 幫助在事件回應與取證調查過程中統一
Cyber Triage[6] - Cyber Triage 遠端收集/分析終端資料, 以説明確定電腦是否被入侵。 其專注易用性與自動化, 採用無代理方法使公司在沒有重大基礎設施/沒有取證專家團隊的情況下做出回應,
Digital Forensics Framework[7] - DFF 是一個建立在專用 API 之上的開源電腦取證框架, DFF 提出了一種替代目前老舊的數字取證解決方案, 其設計簡單/更加自動化, 通過 DFF 介面可以説明使用者進行數位調查取證的主要步驟, 專業與非專業人員都可以快速的進行數位取證並執行事件回應
Doorman[8] - Doorman 是一個 osquery 的管理平臺, 可以遠端系統管理節點的 osquery 配置。 它利用 osquery 的 TLS 配置/記錄器/分散式讀寫等優勢為管理員提供最小開銷的管理
Envdb[9] - Envdb 將你的生產/開發/雲等環境變成資料庫集群, 你可以使用 osquery 作為基礎搜索, 它可以和集群中心節點包裝 osquery 的查詢過程
Falcon Orchestrator[10] - Falcon Orchestrator 是由 CrowdStrike 提供的一個基於 Windows 可擴展的應用程式,
FIDO[11] - Netflix 開發的 Fully Integrated Defense Operation (FIDO) 用於自動化評估/回應惡意軟體入侵回應過程, FIDO 的主要目的是協助處理大量的手動工作來評估對安全堆疊的威脅與生成的大量警報
GRR Rapid Response[12] - GRR Rapid Response 是一個用來遠端現場取證的應急響應框架, 其帶有一個可以管理用戶端的 Python 編寫的伺服器
Kolide[13] - Kolide 是一個無代理的 osquery Web 介面與遠端 API 伺服器, Kolide 作為 Envdb 替代品的設計理念就是極度便攜(僅有一個可執行程式), 在保持代碼簡單的情況下保持性能
Limacharlie[14] - 一個終端安全平臺, 它本身是一個小專案的集合, 並提供了一個跨平臺的低級環境, 你可以管理並推送附加功能進入記憶體給程式擴展功能
MIG[15] - Mozilla Investigator (MIG) 是一個在遠端終端機執行調查的平臺,
MozDef[16] - Mozilla Defense Platform (MozDef) 旨在幫助安全事件處理自動化, 並促進事件的即時處理
nightHawk[17] - nightHawk Response Platform 是一個以 ElasticSearch 為後臺的非同步取證資料呈現的應用程式, 設計與 Redline 配合調查
Open Computer Forensics Architecture[18] - Open Computer Forensics Architecture (OCFA) 是另一個分散式開源電腦取證框架, 這個框架建立在 Linux 平臺上, 並使用 postgreSQL 資料庫來存儲資料
Osquery[19] - osquery 可以找到 Linux 與 OSX 基礎設施的問題, 無論你是要入侵偵測還是基礎架構可靠性檢查 osquery 都能夠幫助你提高公司內部的安全性群組織能力, incident-response pack 可以幫助你進行檢測/回應活動
Redline[20] - 為使用者提供主機調查工具, 通過記憶體與檔分析來找到惡意行為的活動跡象, 包括對威脅評估設定檔的開發
The Sleuth Kit & Autopsy[21] - Sleuth Kit 是基於 Unix 和 Windows 的工具, 可以説明電腦取證分析,
TheHive[22] - TheHive 是一個可擴展的三個一開源解決方案, 旨在讓 SOC、CSIRT、CERT 或其他任何資訊安全從業人員方便的進行安全事件調查
X-Ways Forensics[23] - X-Ways 是一個用於磁片克隆、鏡像的工具, 可以查找已經刪除的檔並進行磁片分析
Zentral[24] - 與 osquery 強大的端點清單保護能力相結合, 通知與行動都靈活的框架, 可以快速對 OS X 與 Linux 客戶機上的更改做出識別與回應
[25]書籍Dfir intro[26] - 作者:Scott J. Roberts
The Practice of Network Security Monitoring: Understanding Incident Detection and Response[27] - 作者:Richard Bejtlich
[28]社區Sans DFIR mailing list[29] - Mailing list by SANS for DFIR
Slack DFIR channel[30] - Slack DFIR Communitiy channel - Signup here[31]
[32]磁片鏡像創建工具AccessData FTK Imager[33] - AccessData FTK Imager 是一個從任何類型的磁片中預覽可恢復資料的取證工具, FTK Imager 可以在 32/64 位元系統上即時採集記憶體與分頁檔
GetData Forensic Imager[34] - GetData Forensic Imager 是一個基於 Windows 程式, 將常見的檔案格式進行獲取/轉換/驗證取證
Guymager[35] - Guymager 是一個用於 Linux 上媒體採集的免費鏡像取證器
Magnet ACQUIRE[36] - Magnet Forensics 開發的 ACQUIRE 可以在不同類型的磁片上執行取證,包括 Windows/Linux/OS X 與移動作業系統
[37]證據收集bulk_extractor[38] - bulk_extractor 是一個電腦取證工具,可以掃描磁片映射、檔、檔目錄,並在不解析檔案系統或檔案系統結構的情況下提取有用的資訊,由於其忽略了檔案系統結構,程式在速度和深入程度上都有了很大的提高
Cold Disk Quick Response[39] - 使用精簡的解析器列表來快速分析取證鏡像檔(dd, E01, .vmdk, etc)並輸出報告
ir-rescue[40] - ir-rescue 是一個 Windows 批次處理腳本與一個 Unix Bash 腳本,用於在事件響應期在主機全面收集證據
Live Response Collection[41] - BriMor 開發的 Live Response collection 是一個用於從各種作業系統中收集易失性資料的自動化工具
[42]應急管理FIR[43] - Fast Incident Response (FIR) 是一個網路安全應急管理平臺,在設計時考慮了敏捷性與速度。其可以輕鬆創建、跟蹤、報告網路安全應急事件並用於 CSIRT、CERT 與 SOC 等人員
RTIR[44] - Request Tracker for Incident Response (RTIR) 對於安全團隊來說是首要的開源應急處理系統,其與世界各地的十多個 CERT 與 CSIRT 合作,幫助處理不斷增加的事件報告,RTIR 包含 Request Tracker 的全部功能
SCOT[45] - Sandia Cyber Omni Tracker (SCOT) 是一個應急響應協作與知識獲取工具,為事件回應的過程在不給使用者帶來負擔的情況下增加價值
threat_note[46] - 一個羽量級的調查筆記,允許安全研究人員註冊、檢索他們需要的 IOC 資料
[47]Linux 發行版本ADIA[48] - Appliance for Digital Investigation and Analysis (ADIA) 是一個基於 VMware 的應用程式,用於進行數位取證。其完全由公開軟體構建,包含的工具有 Autopsy/Sleuth Kit/Digital Forensics Framework/log2timeline/Xplico/Wireshark 大多數系統維護使用 Webmin。可在各種系統下進行使用
CAINE[49] - Computer Aided Investigative Environment (CAINE) 包含許多幫助調查人員進行分析的工具,包括取證工具
DEFT[50] - Digital Evidence & Forensics Toolkit (DEFT) 是一個用於電腦取證的 Linux 發行版本,它與 Windows 上的 Digital Advanced Response Toolkit (DART) 捆綁在一起。DEFT 的輕量版被成為 DEFT Zero
NST - Network Security Toolkit[51] - 包括大量的優秀開源網路安全應用程式的 Linux 發行版本
PALADIN[52] - PALADIN 是一個附帶許多開源取證工具的改 Linux 發行版本,用於在法庭上以正確的方式執行取證任務
Security Onion[53] - Security Onion 是一個特殊的 Linux 發行版本,旨在利用高級的分析工具進行網路安全監控
SIFT Workstation[54] - SANS Investigative Forensic Toolkit (SIFT) 使用優秀開源工具以實現高級事件回應與入侵深度數位取證,這些功能免費提供,並且經常更新
[55]Linux 證據收集FastIR Collector Linux[56] - FastIR 在 Linux 系統上收集不同的資訊並將結果存入 CSV 檔
[57]日誌分析工具Lorg[58] - 一個用 HTTPD 日誌進行高級安全分析與取證的工具
[59]記憶體分析工具Evolve[60] - Volatility 記憶體取證框架的 Web 介面
inVtero.net[61] - 支援 hypervisor 的 Windows x64 高級記憶體分析
KnTList[62] - 電腦記憶體分析工具
LiME[63] - LiME 是 Loadable Kernel Module (LKM),可以從 Linux 以及基於 Linux 的設備採集易失性記憶體資料
Memoryze[64] - 由 Mandiant 開發的 Memoryze 是一個免費的記憶體取證軟體,可以説明應急響應人員在記憶體中定位惡意部位, Memoryze 也可以分析記憶體鏡像或者裝成帶有許多分析外掛程式的系統
Memoryze for Mac[65] - Memoryze for Mac 是 Memoryze 但僅限於 Mac,且功能較少
Rekall[66] - 用於從 RAM 中提取樣本的開源工具
Responder PRO[67] - Responder PRO 是一個工業級的實體記憶體及自動化惡意軟體分析解決方案
Volatility[68] - 高級記憶體取證框架
VolatilityBot[69] - VolatilityBot 是一個自動化工具,説明研究員減少在二進位程式提取解析階段的手動任務,或者説明研究人員進行記憶體分析調查的第一步
WindowsSCOPE[70] - 一個用來分析易失性記憶體的取證與逆向工程工具,被用於對惡意軟體進行逆向分析,提供了分析 Windows 內核/驅動程式/DLL/虛擬與實體記憶體的功能
[71]記憶體鏡像工具Belkasoft Live RAM Capturer[72] - 羽量級取證工具,即使有反調試/反轉儲的系統保護下也可以方便地提取全部易失性記憶體的內容
Linux Memory Grabber[73] - 用於 dump Linux 記憶體並創建 Volatility 設定檔的腳本
Magnet RAM Capture[74] - Magnet RAM Capture 是一個免費的鏡像工具,可以捕獲可疑電腦中的實體記憶體,支援最新版的 Windows
OSForensics[75] - OSForensics 可以獲取 32/64 位元系統的即時記憶體,可以將每個獨立進程的記憶體空間 dump 下來
[76]OSX 證據收集Knockknock[77] - 顯示那些在 OSX 上被設置為自動執行的那些腳本、命令、程式等
OSX Auditor[78] - OSX Auditor 是一個面向 Mac OS X 的免費電腦取證工具
OSX Collector[79] - OSX Auditor 的即時回應版
[80]其他工具Cortex[81] - Cortex 可以通過 Web 介面逐個或批量對 IP 位址/郵寄地址/URL/功能變數名稱/檔雜湊的分析,還可以使用 REST API 來自動執行這些操作
Crits[82] - 一個將分析引擎與網路威脅資料庫相結合且帶有 Web 介面的工具
Fenrir[83] - Fenrir 是一個簡單的 IOC 掃描器,可以在純 bash 中掃描任意 Linux/Unix/OSX 系統,由 THOR 與 LOKI 的開發者創作
Fileintel[84] - 為每個檔雜湊值提供情報
Hindsight[85] - Google Chrome/Chromium 的互聯網
Hostintel[86] - 為每個主機提供情報
Kansa[87] - Kansa 是一個 PowerShell 的模組化應急響應框架
rastrea2r[88] - 使用 YARA 在 Windows、Linux 與 OS X 上掃描硬碟或記憶體
RaQet[89] - RaQet 是一個非常規的遠端採集與分類工具,允許對那些為取證構建的作業系統進行遠端電腦的遴選
Stalk[90] - 收集關於 MySQL 的取證資料
SearchGiant[91] - 從雲服務中獲取取證資料的命令列程式
Stenographer[92] - Stenographer 是一個資料包捕獲解決方案,旨在快速將全部資料包轉儲到磁片中,然後提供對這些資料包的快速訪問。它存儲盡可能多的歷史記錄並且管理磁片的使用情況,在磁片受限被觸發時執行既定策略,非常適合在事件發生前與發生中捕獲流量,而不是顯式存儲所有流量
traceroute-circl[93] - 由 Computer Emergency Responce Center Luxembourg 開發的 traceroute-circl 是一個增強型的 traceroute 來幫助 CSIRT/CERT 的工作人員,通常 CSIRT 團隊必須根據收到的 IP 位址處理事件
X-Ray 2.0[94] - 一個用來向反病毒廠商提供樣本的 Windows 實用工具(幾乎不再維護)
[95]PlaybooksDemisto Playbooks Collection[96] - Playbook 收集
IR Workflow Gallery[97] - 不同的通用事件回應工作流程,例如惡意軟體爆發/資料竊取/未經授權的訪問等,每個工作流程都有七個步驟:準備/檢測/分析/遏制/根除/恢復/事後處理
PagerDuty Incident Response Documentation[98] - 描述 PagerDuty 應急回應過程的文檔,不僅提供了關於事件準備的資訊,還提供了在此前與之後要做什麼工作,源在 GitHub[99] 上
[100]進程 Dump 工具Microsoft User Mode Process Dumper[101] - 使用者模式下的進程 dump 工具,可以 dump 任意正在運行的 Win32 進程記憶體映射
PMDump[102] - PMDump 是一個可以在不停止進程的情況下將進程的記憶體內容 dump 到檔中的工具
[103]沙箱/逆向工具Cuckoo - 開源沙箱工具
Cuckoo-modified[104] - 社區基於 Cuckoo 的大修版
Cuckoo-modified-api[105] - 一個用來控制 Cuckoo 沙箱設置的 Python 庫
Hybrid-Analysis[106] - Hybrid-Analysis 是一個由 Payload Security 提供的免費線上沙箱
Malwr[107] - Malwr 是由 Cuckoo 沙箱提供支援的一個免費線上惡意軟體分析服務
Mastiff[108] - MASTIFF 是一個靜態分析框架,可以自動化的從多種檔案格式中提取關鍵特徵
Viper[109] - Viper 是一個基於 Python 的二進位程式分析及管理框架,支援 Cuckoo 與 YARA
Virustotal[110] - Virustotal, Google 的子公司,一個免費線上分析檔/URL的廠商,可以分析病毒/蠕蟲/木馬以及其他類型被反病毒引擎或網站掃描器識別的惡意內容
Visualize_Logs[111] - Cuckoo、Procmon等日誌的開源視覺化庫
[112]時間線工具Highlighter[113] - Fire/Mandiant 開發的免費工具,用來分析日誌/文字檔,可以對某些關鍵字或短語進行高亮顯示,有助於時間線的整理
Plaso[114] - 一個基於 Python 用於 log2timeline 的後端引擎
Timesketch[115] - 協作取證時間線分析的開源工具
[116]視頻Demisto IR video resources[117] - 應急回應與取證分析的視頻資源
The Future of Incident Response[118] - Bruce Schneier 在 OWASP AppSecUSA 2015 上的分享
[119]Windows 證據收集AChoir[120] - Achoir 是一個將對 Windows 的即時採集工具腳本化變得更標準與簡單的框架
Binaryforay[121] - 一個 Windows 取證的免費工具列表 (http://binaryforay.blogspot.co.il/)
Crowd Response[122] - 由 CrowdStrike 開發的 Crowd Response 是一個羽量級 Windows 終端應用,旨在收集用於應急回應與安全操作的系統資訊,其包含許多模組與輸出格式
FastIR Collector[123] - FastIR Collector 在 Windows 系統中即時收集各種資訊並將結果記錄在 CSV 檔中,通過對這些資訊的分析,我們可以發現早期的入侵痕跡
FECT[124] - Fast Evidence Collector Toolkit (FECT) 是一個羽量級的應急回應工具集,用於在可疑的 Windows 電腦上取證,它可以讓非技術調查人員更專業的進行應急處理
Fibratus[125] - 利用與跟蹤 Windows 內核的工具
IOC Finder[126] - IOC Finder 是由 Mandiant 開發的免費工具,用來收集主機資料並報告存在危險的 IOC
Fidelis ThreatScanner[127] - Fidelis ThreatScanner 是一個由 Fidelis Cybersecurity 開發的免費工具,使用 OpenIOC 和 YARA 來報告終端設備的安全狀態,ThreatScanner 衡量系統的運行狀態後會出具匹配情況的報告,僅限 Windows
LOKI[128] - Loki 是一個使用 YARA 與其他 IOC 對終端進行掃描的免費 IR 掃描器
PowerForensics[129] - Powe rShell 開發的即時硬碟取證框架
PSRecon[130] - PSRecon 使用 PowerShell 在遠端 Windows 主機上提取/整理資料,並將資料發送到安全團隊,資料可以通過郵件來傳送資料或者在本地留存
RegRipper[131] - Regripper 是用 Perl 編寫的開源工具,可以從註冊表中提取/解析資料(鍵/值/資料)提供分析
TRIAGE-IR[132] - Triage-IR 是一個 Windows 下的 IR 收集工具
(題圖來自:securityledger.com[133])
[1]: DFIR - http://www.acronymfinder.com/Digital-Forensics%2c-Incident-Response-(DFIR).html
[2]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#工具集
[3]: Belkasoft Evidence Center - https://belkasoft.com/ec
[4]: CimSweep - https://github.com/PowerShellMafia/CimSweep
[5]: CIRTkit - https://github.com/byt3smith/CIRTKit
[6]: Cyber Triage - http://www.cybertriage.com/
[7]: Digital Forensics Framework - http://www.arxsys.fr/discover/
[8]: Doorman - https://github.com/mwielgoszewski/doorman
[9]: Envdb - https://github.com/mephux/envdb
[10]: Falcon Orchestrator - https://github.com/CrowdStrike/falcon-orchestrator
[11]: FIDO - https://github.com/Netflix/Fido
[12]: GRR Rapid Response - https://github.com/google/grr
[13]: Kolide - https://github.com/mephux/kolide
[14]: Limacharlie - https://github.com/refractionpoint/limacharlie
[15]: MIG - http://mig.mozilla.org/
[16]: MozDef - https://github.com/mozilla/MozDef
[17]: nightHawk - https://github.com/biggiesmallsAG/nightHawkResponse
[18]: Open Computer Forensics Architecture - http://sourceforge.net/projects/ocfa/
[19]: Osquery - https://osquery.io/
[20]: Redline - https://www.fireeye.com/services/freeware/redline.html
[21]: The Sleuth Kit & Autopsy - http://www.sleuthkit.org/
[22]: TheHive - https://thehive-project.org/
[23]: X-Ways Forensics - http://www.x-ways.net/forensics/
[24]: Zentral - https://github.com/zentralopensource/zentral
[25]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#書籍
[26]: Dfir intro - http://sroberts.github.io/2016/01/11/introduction-to-dfir-the-beginning/
[27]: The Practice of Network Security Monitoring: Understanding Incident Detection and Response - http://www.amazon.com/gp/product/1593275099
[28]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#社區
[29]: Sans DFIR mailing list - https://lists.sans.org/mailman/listinfo/dfir
[30]: Slack DFIR channel - https://dfircommunity.slack.com/
[31]: Signup here - https://rishi28.typeform.com/to/sTbTI8
[32]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#磁片鏡像創建工具
[33]: AccessData FTK Imager - http://accessdata.com/product-download/?/support/adownloads#FTKImager
[34]: GetData Forensic Imager - http://www.forensicimager.com/
[35]: Guymager - http://guymager.sourceforge.net/
[36]: Magnet ACQUIRE - https://www.magnetforensics.com/magnet-acquire/
[37]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#證據收集
[38]: bulk_extractor - https://github.com/simsong/bulk_extractor
[39]: Cold Disk Quick Response - https://github.com/rough007/CDQR
[40]: ir-rescue - https://github.com/diogo-fernan/ir-rescue
[41]: Live Response Collection - https://www.brimorlabs.com/tools/
[42]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#應急管理
[43]: FIR - https://github.com/certsocietegenerale/FIR/
[44]: RTIR - https://www.bestpractical.com/rtir/
[45]: SCOT - http://getscot.sandia.gov/
[46]: threat_note - https://github.com/defpoint/threat_note
[47]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#linux-發行版本
[48]: ADIA - https://forensics.cert.org/#ADIA
[49]: CAINE - http://www.caine-live.net/index.html
[50]: DEFT - http://www.deftlinux.net/
[51]: NST - Network Security Toolkit - https://sourceforge.net/projects/nst/files/latest/download?source=files
[52]: PALADIN - https://sumuri.com/software/paladin/
[53]: Security Onion - https://github.com/Security-Onion-Solutions/security-onion
[54]: SIFT Workstation - http://digital-forensics.sans.org/community/downloads
[55]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#linux-證據收集
[56]: FastIR Collector Linux - https://github.com/SekoiaLab/Fastir_Collector_Linux
[57]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#日誌分析工具
[58]: Lorg - https://github.com/jensvoid/lorg
[59]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#記憶體分析工具
[60]: Evolve - https://github.com/JamesHabben/evolve
[61]: inVtero.net - https://github.com/ShaneK2/inVtero.net
[62]: KnTList - http://www.gmgsystemsinc.com/knttools/
[63]: LiME - https://github.com/504ensicsLabs/LiME
[64]: Memoryze - https://www.fireeye.com/services/freeware/memoryze.html
[65]: Memoryze for Mac - https://www.fireeye.com/services/freeware/memoryze-for-the-mac.html
[66]: Rekall - http://www.rekall-forensic.com/
[67]: Responder PRO - http://www.countertack.com/responder-pro
[68]: Volatility - https://github.com/volatilityfoundation/volatility
[69]: VolatilityBot - https://github.com/mkorman90/VolatilityBot
[70]: WindowsSCOPE - http://www.windowsscope.com/index.php?page=shop.product_details&flypage=flypage.tpl&product_id=35&category_id=3&option=com_virtuemart
[71]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#記憶體鏡像工具
[72]: Belkasoft Live RAM Capturer - http://belkasoft.com/ram-capturer
[73]: Linux Memory Grabber - https://github.com/halpomeranz/lmg/
[74]: Magnet RAM Capture - https://www.magnetforensics.com/free-tool-magnet-ram-capture/
[75]: OSForensics - http://www.osforensics.com/
[76]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#osx-證據收集
[77]: Knockknock - https://github.com/synack/knockknock
[78]: OSX Auditor - https://github.com/jipegit/OSXAuditor
[79]: OSX Collector - https://github.com/yelp/osxcollector
[80]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#其他工具
[81]: Cortex - https://thehive-project.org/
[82]: Crits - https://crits.github.io/
[83]: Fenrir - https://github.com/Neo23x0/Fenrir
[84]: Fileintel - https://github.com/keithjjones/fileintel
[85]: Hindsight - https://github.com/obsidianforensics/hindsight
[86]: Hostintel - https://github.com/keithjjones/hostintel
[87]: Kansa - https://github.com/davehull/Kansa/
[88]: rastrea2r - https://github.com/aboutsecurity/rastrea2r
[89]: RaQet - https://raqet.github.io/
[90]: Stalk - https://www.percona.com/doc/percona-toolkit/2.2/pt-stalk.html
[91]: SearchGiant - https://github.com/jadacyrus/searchgiant_cli
[92]: Stenographer - https://github.com/google/stenographer
[93]: traceroute-circl - https://github.com/CIRCL/traceroute-circl
[94]: X-Ray 2.0 - https://www.raymond.cc/blog/xray/
[95]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#playbooks
[96]: Demisto Playbooks Collection - https://www.demisto.com/category/playbooks/
[97]: IR Workflow Gallery - https://www.incidentresponse.com/playbooks/
[98]: PagerDuty Incident Response Documentation - https://response.pagerduty.com/
[99]: GitHub - https://github.com/PagerDuty/incident-response-docs
[100]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#進程-dump-工具
[101]: Microsoft User Mode Process Dumper - http://www.microsoft.com/en-us/download/details.aspx?id=4060
[102]: PMDump - http://www.ntsecurity.nu/toolbox/pmdump/
[103]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#沙箱逆向工具
[104]: Cuckoo-modified - https://github.com/spender-sandbox/cuckoo-modified
[105]: Cuckoo-modified-api - https://github.com/keithjjones/cuckoo-modified-api
[106]: Hybrid-Analysis - https://www.hybrid-analysis.com/
[107]: Malwr - https://malwr.com/
[108]: Mastiff - https://github.com/KoreLogicSecurity/mastiff
[109]: Viper - https://github.com/viper-framework/viper
[110]: Virustotal - https://www.virustotal.com/
[111]: Visualize_Logs - https://github.com/keithjjones/visualize_logs
[112]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#時間線工具
[113]: Highlighter - https://www.fireeye.com/services/freeware/highlighter.html
[114]: Plaso - https://github.com/log2timeline/plaso
[115]: Timesketch - https://github.com/google/timesketch
[116]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#視頻
[117]: Demisto IR video resources - https://www.demisto.com/category/videos/
[118]: The Future of Incident Response - https://www.youtube.com/watch?v=bDcx4UNpKNc
[119]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#windows-證據收集
[120]: AChoir - https://github.com/OMENScan/AChoir
[121]: Binaryforay - http://binaryforay.blogspot.co.il/p/software.html
[122]: Crowd Response - http://www.crowdstrike.com/community-tools/
[123]: FastIR Collector - https://github.com/SekoiaLab/Fastir_Collector
[124]: FECT - https://github.com/jipegit/FECT
[125]: Fibratus - https://github.com/rabbitstack/fibratus
[126]: IOC Finder - https://www.fireeye.com/services/freeware/ioc-finder.html
[127]: Fidelis ThreatScanner - https://www.fidelissecurity.com/resources/fidelis-threatscanner
[128]: LOKI - https://github.com/Neo23x0/Loki
[129]: PowerForensics - https://github.com/Invoke-IR/PowerForensics
[130]: PSRecon - https://github.com/gfoss/PSRecon/
[131]: RegRipper - https://c ode.google.com/p/regripper/wiki/RegRipper
[132]: TRIAGE-IR - https://code.google.com/p/triage-ir/
[133]: securityledger.com - https://securityledger.com
Magnet ACQUIRE[36] - Magnet Forensics 開發的 ACQUIRE 可以在不同類型的磁片上執行取證,包括 Windows/Linux/OS X 與移動作業系統
[37]證據收集bulk_extractor[38] - bulk_extractor 是一個電腦取證工具,可以掃描磁片映射、檔、檔目錄,並在不解析檔案系統或檔案系統結構的情況下提取有用的資訊,由於其忽略了檔案系統結構,程式在速度和深入程度上都有了很大的提高
Cold Disk Quick Response[39] - 使用精簡的解析器列表來快速分析取證鏡像檔(dd, E01, .vmdk, etc)並輸出報告
ir-rescue[40] - ir-rescue 是一個 Windows 批次處理腳本與一個 Unix Bash 腳本,用於在事件響應期在主機全面收集證據
Live Response Collection[41] - BriMor 開發的 Live Response collection 是一個用於從各種作業系統中收集易失性資料的自動化工具
[42]應急管理FIR[43] - Fast Incident Response (FIR) 是一個網路安全應急管理平臺,在設計時考慮了敏捷性與速度。其可以輕鬆創建、跟蹤、報告網路安全應急事件並用於 CSIRT、CERT 與 SOC 等人員
RTIR[44] - Request Tracker for Incident Response (RTIR) 對於安全團隊來說是首要的開源應急處理系統,其與世界各地的十多個 CERT 與 CSIRT 合作,幫助處理不斷增加的事件報告,RTIR 包含 Request Tracker 的全部功能
SCOT[45] - Sandia Cyber Omni Tracker (SCOT) 是一個應急響應協作與知識獲取工具,為事件回應的過程在不給使用者帶來負擔的情況下增加價值
threat_note[46] - 一個羽量級的調查筆記,允許安全研究人員註冊、檢索他們需要的 IOC 資料
[47]Linux 發行版本ADIA[48] - Appliance for Digital Investigation and Analysis (ADIA) 是一個基於 VMware 的應用程式,用於進行數位取證。其完全由公開軟體構建,包含的工具有 Autopsy/Sleuth Kit/Digital Forensics Framework/log2timeline/Xplico/Wireshark 大多數系統維護使用 Webmin。可在各種系統下進行使用
CAINE[49] - Computer Aided Investigative Environment (CAINE) 包含許多幫助調查人員進行分析的工具,包括取證工具
DEFT[50] - Digital Evidence & Forensics Toolkit (DEFT) 是一個用於電腦取證的 Linux 發行版本,它與 Windows 上的 Digital Advanced Response Toolkit (DART) 捆綁在一起。DEFT 的輕量版被成為 DEFT Zero
NST - Network Security Toolkit[51] - 包括大量的優秀開源網路安全應用程式的 Linux 發行版本
PALADIN[52] - PALADIN 是一個附帶許多開源取證工具的改 Linux 發行版本,用於在法庭上以正確的方式執行取證任務
Security Onion[53] - Security Onion 是一個特殊的 Linux 發行版本,旨在利用高級的分析工具進行網路安全監控
SIFT Workstation[54] - SANS Investigative Forensic Toolkit (SIFT) 使用優秀開源工具以實現高級事件回應與入侵深度數位取證,這些功能免費提供,並且經常更新
[55]Linux 證據收集FastIR Collector Linux[56] - FastIR 在 Linux 系統上收集不同的資訊並將結果存入 CSV 檔
[57]日誌分析工具Lorg[58] - 一個用 HTTPD 日誌進行高級安全分析與取證的工具
[59]記憶體分析工具Evolve[60] - Volatility 記憶體取證框架的 Web 介面
inVtero.net[61] - 支援 hypervisor 的 Windows x64 高級記憶體分析
KnTList[62] - 電腦記憶體分析工具
LiME[63] - LiME 是 Loadable Kernel Module (LKM),可以從 Linux 以及基於 Linux 的設備採集易失性記憶體資料
Memoryze[64] - 由 Mandiant 開發的 Memoryze 是一個免費的記憶體取證軟體,可以説明應急響應人員在記憶體中定位惡意部位, Memoryze 也可以分析記憶體鏡像或者裝成帶有許多分析外掛程式的系統
Memoryze for Mac[65] - Memoryze for Mac 是 Memoryze 但僅限於 Mac,且功能較少
Rekall[66] - 用於從 RAM 中提取樣本的開源工具
Responder PRO[67] - Responder PRO 是一個工業級的實體記憶體及自動化惡意軟體分析解決方案
Volatility[68] - 高級記憶體取證框架
VolatilityBot[69] - VolatilityBot 是一個自動化工具,説明研究員減少在二進位程式提取解析階段的手動任務,或者説明研究人員進行記憶體分析調查的第一步
WindowsSCOPE[70] - 一個用來分析易失性記憶體的取證與逆向工程工具,被用於對惡意軟體進行逆向分析,提供了分析 Windows 內核/驅動程式/DLL/虛擬與實體記憶體的功能
[71]記憶體鏡像工具Belkasoft Live RAM Capturer[72] - 羽量級取證工具,即使有反調試/反轉儲的系統保護下也可以方便地提取全部易失性記憶體的內容
Linux Memory Grabber[73] - 用於 dump Linux 記憶體並創建 Volatility 設定檔的腳本
Magnet RAM Capture[74] - Magnet RAM Capture 是一個免費的鏡像工具,可以捕獲可疑電腦中的實體記憶體,支援最新版的 Windows
OSForensics[75] - OSForensics 可以獲取 32/64 位元系統的即時記憶體,可以將每個獨立進程的記憶體空間 dump 下來
[76]OSX 證據收集Knockknock[77] - 顯示那些在 OSX 上被設置為自動執行的那些腳本、命令、程式等
OSX Auditor[78] - OSX Auditor 是一個面向 Mac OS X 的免費電腦取證工具
OSX Collector[79] - OSX Auditor 的即時回應版
[80]其他工具Cortex[81] - Cortex 可以通過 Web 介面逐個或批量對 IP 位址/郵寄地址/URL/功能變數名稱/檔雜湊的分析,還可以使用 REST API 來自動執行這些操作
Crits[82] - 一個將分析引擎與網路威脅資料庫相結合且帶有 Web 介面的工具
Fenrir[83] - Fenrir 是一個簡單的 IOC 掃描器,可以在純 bash 中掃描任意 Linux/Unix/OSX 系統,由 THOR 與 LOKI 的開發者創作
Fileintel[84] - 為每個檔雜湊值提供情報
Hindsight[85] - Google Chrome/Chromium 的互聯網
Hostintel[86] - 為每個主機提供情報
Kansa[87] - Kansa 是一個 PowerShell 的模組化應急響應框架
rastrea2r[88] - 使用 YARA 在 Windows、Linux 與 OS X 上掃描硬碟或記憶體
RaQet[89] - RaQet 是一個非常規的遠端採集與分類工具,允許對那些為取證構建的作業系統進行遠端電腦的遴選
Stalk[90] - 收集關於 MySQL 的取證資料
SearchGiant[91] - 從雲服務中獲取取證資料的命令列程式
Stenographer[92] - Stenographer 是一個資料包捕獲解決方案,旨在快速將全部資料包轉儲到磁片中,然後提供對這些資料包的快速訪問。它存儲盡可能多的歷史記錄並且管理磁片的使用情況,在磁片受限被觸發時執行既定策略,非常適合在事件發生前與發生中捕獲流量,而不是顯式存儲所有流量
traceroute-circl[93] - 由 Computer Emergency Responce Center Luxembourg 開發的 traceroute-circl 是一個增強型的 traceroute 來幫助 CSIRT/CERT 的工作人員,通常 CSIRT 團隊必須根據收到的 IP 位址處理事件
X-Ray 2.0[94] - 一個用來向反病毒廠商提供樣本的 Windows 實用工具(幾乎不再維護)
[95]PlaybooksDemisto Playbooks Collection[96] - Playbook 收集
IR Workflow Gallery[97] - 不同的通用事件回應工作流程,例如惡意軟體爆發/資料竊取/未經授權的訪問等,每個工作流程都有七個步驟:準備/檢測/分析/遏制/根除/恢復/事後處理
PagerDuty Incident Response Documentation[98] - 描述 PagerDuty 應急回應過程的文檔,不僅提供了關於事件準備的資訊,還提供了在此前與之後要做什麼工作,源在 GitHub[99] 上
[100]進程 Dump 工具Microsoft User Mode Process Dumper[101] - 使用者模式下的進程 dump 工具,可以 dump 任意正在運行的 Win32 進程記憶體映射
PMDump[102] - PMDump 是一個可以在不停止進程的情況下將進程的記憶體內容 dump 到檔中的工具
[103]沙箱/逆向工具Cuckoo - 開源沙箱工具
Cuckoo-modified[104] - 社區基於 Cuckoo 的大修版
Cuckoo-modified-api[105] - 一個用來控制 Cuckoo 沙箱設置的 Python 庫
Hybrid-Analysis[106] - Hybrid-Analysis 是一個由 Payload Security 提供的免費線上沙箱
Malwr[107] - Malwr 是由 Cuckoo 沙箱提供支援的一個免費線上惡意軟體分析服務
Mastiff[108] - MASTIFF 是一個靜態分析框架,可以自動化的從多種檔案格式中提取關鍵特徵
Viper[109] - Viper 是一個基於 Python 的二進位程式分析及管理框架,支援 Cuckoo 與 YARA
Virustotal[110] - Virustotal, Google 的子公司,一個免費線上分析檔/URL的廠商,可以分析病毒/蠕蟲/木馬以及其他類型被反病毒引擎或網站掃描器識別的惡意內容
Visualize_Logs[111] - Cuckoo、Procmon等日誌的開源視覺化庫
[112]時間線工具Highlighter[113] - Fire/Mandiant 開發的免費工具,用來分析日誌/文字檔,可以對某些關鍵字或短語進行高亮顯示,有助於時間線的整理
Plaso[114] - 一個基於 Python 用於 log2timeline 的後端引擎
Timesketch[115] - 協作取證時間線分析的開源工具
[116]視頻Demisto IR video resources[117] - 應急回應與取證分析的視頻資源
The Future of Incident Response[118] - Bruce Schneier 在 OWASP AppSecUSA 2015 上的分享
[119]Windows 證據收集AChoir[120] - Achoir 是一個將對 Windows 的即時採集工具腳本化變得更標準與簡單的框架
Binaryforay[121] - 一個 Windows 取證的免費工具列表 (http://binaryforay.blogspot.co.il/)
Crowd Response[122] - 由 CrowdStrike 開發的 Crowd Response 是一個羽量級 Windows 終端應用,旨在收集用於應急回應與安全操作的系統資訊,其包含許多模組與輸出格式
FastIR Collector[123] - FastIR Collector 在 Windows 系統中即時收集各種資訊並將結果記錄在 CSV 檔中,通過對這些資訊的分析,我們可以發現早期的入侵痕跡
FECT[124] - Fast Evidence Collector Toolkit (FECT) 是一個羽量級的應急回應工具集,用於在可疑的 Windows 電腦上取證,它可以讓非技術調查人員更專業的進行應急處理
Fibratus[125] - 利用與跟蹤 Windows 內核的工具
IOC Finder[126] - IOC Finder 是由 Mandiant 開發的免費工具,用來收集主機資料並報告存在危險的 IOC
Fidelis ThreatScanner[127] - Fidelis ThreatScanner 是一個由 Fidelis Cybersecurity 開發的免費工具,使用 OpenIOC 和 YARA 來報告終端設備的安全狀態,ThreatScanner 衡量系統的運行狀態後會出具匹配情況的報告,僅限 Windows
LOKI[128] - Loki 是一個使用 YARA 與其他 IOC 對終端進行掃描的免費 IR 掃描器
PowerForensics[129] - Powe rShell 開發的即時硬碟取證框架
PSRecon[130] - PSRecon 使用 PowerShell 在遠端 Windows 主機上提取/整理資料,並將資料發送到安全團隊,資料可以通過郵件來傳送資料或者在本地留存
RegRipper[131] - Regripper 是用 Perl 編寫的開源工具,可以從註冊表中提取/解析資料(鍵/值/資料)提供分析
TRIAGE-IR[132] - Triage-IR 是一個 Windows 下的 IR 收集工具
(題圖來自:securityledger.com[133])
[1]: DFIR - http://www.acronymfinder.com/Digital-Forensics%2c-Incident-Response-(DFIR).html
[2]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#工具集
[3]: Belkasoft Evidence Center - https://belkasoft.com/ec
[4]: CimSweep - https://github.com/PowerShellMafia/CimSweep
[5]: CIRTkit - https://github.com/byt3smith/CIRTKit
[6]: Cyber Triage - http://www.cybertriage.com/
[7]: Digital Forensics Framework - http://www.arxsys.fr/discover/
[8]: Doorman - https://github.com/mwielgoszewski/doorman
[9]: Envdb - https://github.com/mephux/envdb
[10]: Falcon Orchestrator - https://github.com/CrowdStrike/falcon-orchestrator
[11]: FIDO - https://github.com/Netflix/Fido
[12]: GRR Rapid Response - https://github.com/google/grr
[13]: Kolide - https://github.com/mephux/kolide
[14]: Limacharlie - https://github.com/refractionpoint/limacharlie
[15]: MIG - http://mig.mozilla.org/
[16]: MozDef - https://github.com/mozilla/MozDef
[17]: nightHawk - https://github.com/biggiesmallsAG/nightHawkResponse
[18]: Open Computer Forensics Architecture - http://sourceforge.net/projects/ocfa/
[19]: Osquery - https://osquery.io/
[20]: Redline - https://www.fireeye.com/services/freeware/redline.html
[21]: The Sleuth Kit & Autopsy - http://www.sleuthkit.org/
[22]: TheHive - https://thehive-project.org/
[23]: X-Ways Forensics - http://www.x-ways.net/forensics/
[24]: Zentral - https://github.com/zentralopensource/zentral
[25]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#書籍
[26]: Dfir intro - http://sroberts.github.io/2016/01/11/introduction-to-dfir-the-beginning/
[27]: The Practice of Network Security Monitoring: Understanding Incident Detection and Response - http://www.amazon.com/gp/product/1593275099
[28]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#社區
[29]: Sans DFIR mailing list - https://lists.sans.org/mailman/listinfo/dfir
[30]: Slack DFIR channel - https://dfircommunity.slack.com/
[31]: Signup here - https://rishi28.typeform.com/to/sTbTI8
[32]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#磁片鏡像創建工具
[33]: AccessData FTK Imager - http://accessdata.com/product-download/?/support/adownloads#FTKImager
[34]: GetData Forensic Imager - http://www.forensicimager.com/
[35]: Guymager - http://guymager.sourceforge.net/
[36]: Magnet ACQUIRE - https://www.magnetforensics.com/magnet-acquire/
[37]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#證據收集
[38]: bulk_extractor - https://github.com/simsong/bulk_extractor
[39]: Cold Disk Quick Response - https://github.com/rough007/CDQR
[40]: ir-rescue - https://github.com/diogo-fernan/ir-rescue
[41]: Live Response Collection - https://www.brimorlabs.com/tools/
[42]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#應急管理
[43]: FIR - https://github.com/certsocietegenerale/FIR/
[44]: RTIR - https://www.bestpractical.com/rtir/
[45]: SCOT - http://getscot.sandia.gov/
[46]: threat_note - https://github.com/defpoint/threat_note
[47]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#linux-發行版本
[48]: ADIA - https://forensics.cert.org/#ADIA
[49]: CAINE - http://www.caine-live.net/index.html
[50]: DEFT - http://www.deftlinux.net/
[51]: NST - Network Security Toolkit - https://sourceforge.net/projects/nst/files/latest/download?source=files
[52]: PALADIN - https://sumuri.com/software/paladin/
[53]: Security Onion - https://github.com/Security-Onion-Solutions/security-onion
[54]: SIFT Workstation - http://digital-forensics.sans.org/community/downloads
[55]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#linux-證據收集
[56]: FastIR Collector Linux - https://github.com/SekoiaLab/Fastir_Collector_Linux
[57]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#日誌分析工具
[58]: Lorg - https://github.com/jensvoid/lorg
[59]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#記憶體分析工具
[60]: Evolve - https://github.com/JamesHabben/evolve
[61]: inVtero.net - https://github.com/ShaneK2/inVtero.net
[62]: KnTList - http://www.gmgsystemsinc.com/knttools/
[63]: LiME - https://github.com/504ensicsLabs/LiME
[64]: Memoryze - https://www.fireeye.com/services/freeware/memoryze.html
[65]: Memoryze for Mac - https://www.fireeye.com/services/freeware/memoryze-for-the-mac.html
[66]: Rekall - http://www.rekall-forensic.com/
[67]: Responder PRO - http://www.countertack.com/responder-pro
[68]: Volatility - https://github.com/volatilityfoundation/volatility
[69]: VolatilityBot - https://github.com/mkorman90/VolatilityBot
[70]: WindowsSCOPE - http://www.windowsscope.com/index.php?page=shop.product_details&flypage=flypage.tpl&product_id=35&category_id=3&option=com_virtuemart
[71]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#記憶體鏡像工具
[72]: Belkasoft Live RAM Capturer - http://belkasoft.com/ram-capturer
[73]: Linux Memory Grabber - https://github.com/halpomeranz/lmg/
[74]: Magnet RAM Capture - https://www.magnetforensics.com/free-tool-magnet-ram-capture/
[75]: OSForensics - http://www.osforensics.com/
[76]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#osx-證據收集
[77]: Knockknock - https://github.com/synack/knockknock
[78]: OSX Auditor - https://github.com/jipegit/OSXAuditor
[79]: OSX Collector - https://github.com/yelp/osxcollector
[80]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#其他工具
[81]: Cortex - https://thehive-project.org/
[82]: Crits - https://crits.github.io/
[83]: Fenrir - https://github.com/Neo23x0/Fenrir
[84]: Fileintel - https://github.com/keithjjones/fileintel
[85]: Hindsight - https://github.com/obsidianforensics/hindsight
[86]: Hostintel - https://github.com/keithjjones/hostintel
[87]: Kansa - https://github.com/davehull/Kansa/
[88]: rastrea2r - https://github.com/aboutsecurity/rastrea2r
[89]: RaQet - https://raqet.github.io/
[90]: Stalk - https://www.percona.com/doc/percona-toolkit/2.2/pt-stalk.html
[91]: SearchGiant - https://github.com/jadacyrus/searchgiant_cli
[92]: Stenographer - https://github.com/google/stenographer
[93]: traceroute-circl - https://github.com/CIRCL/traceroute-circl
[94]: X-Ray 2.0 - https://www.raymond.cc/blog/xray/
[95]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#playbooks
[96]: Demisto Playbooks Collection - https://www.demisto.com/category/playbooks/
[97]: IR Workflow Gallery - https://www.incidentresponse.com/playbooks/
[98]: PagerDuty Incident Response Documentation - https://response.pagerduty.com/
[99]: GitHub - https://github.com/PagerDuty/incident-response-docs
[100]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#進程-dump-工具
[101]: Microsoft User Mode Process Dumper - http://www.microsoft.com/en-us/download/details.aspx?id=4060
[102]: PMDump - http://www.ntsecurity.nu/toolbox/pmdump/
[103]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#沙箱逆向工具
[104]: Cuckoo-modified - https://github.com/spender-sandbox/cuckoo-modified
[105]: Cuckoo-modified-api - https://github.com/keithjjones/cuckoo-modified-api
[106]: Hybrid-Analysis - https://www.hybrid-analysis.com/
[107]: Malwr - https://malwr.com/
[108]: Mastiff - https://github.com/KoreLogicSecurity/mastiff
[109]: Viper - https://github.com/viper-framework/viper
[110]: Virustotal - https://www.virustotal.com/
[111]: Visualize_Logs - https://github.com/keithjjones/visualize_logs
[112]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#時間線工具
[113]: Highlighter - https://www.fireeye.com/services/freeware/highlighter.html
[114]: Plaso - https://github.com/log2timeline/plaso
[115]: Timesketch - https://github.com/google/timesketch
[116]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#視頻
[117]: Demisto IR video resources - https://www.demisto.com/category/videos/
[118]: The Future of Incident Response - https://www.youtube.com/watch?v=bDcx4UNpKNc
[119]: - https://github.com/meirwah/awesome-incident-response/blob/master/README_ch.md#windows-證據收集
[120]: AChoir - https://github.com/OMENScan/AChoir
[121]: Binaryforay - http://binaryforay.blogspot.co.il/p/software.html
[122]: Crowd Response - http://www.crowdstrike.com/community-tools/
[123]: FastIR Collector - https://github.com/SekoiaLab/Fastir_Collector
[124]: FECT - https://github.com/jipegit/FECT
[125]: Fibratus - https://github.com/rabbitstack/fibratus
[126]: IOC Finder - https://www.fireeye.com/services/freeware/ioc-finder.html
[127]: Fidelis ThreatScanner - https://www.fidelissecurity.com/resources/fidelis-threatscanner
[128]: LOKI - https://github.com/Neo23x0/Loki
[129]: PowerForensics - https://github.com/Invoke-IR/PowerForensics
[130]: PSRecon - https://github.com/gfoss/PSRecon/
[131]: RegRipper - https://c ode.google.com/p/regripper/wiki/RegRipper
[132]: TRIAGE-IR - https://code.google.com/p/triage-ir/
[133]: securityledger.com - https://securityledger.com