DFIR ORC 项目教程

于 2024-09-26 07:25:30 发布
阅读量891 收藏 11
点赞数 25
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00465/article/details/142539134
版权

DFIR ORC 项目教程

dfir-orc Forensics artefact collection tool for systems running Microsoft Windows dfir-orc 项目地址: https://gitcode.com/gh_mirrors/df/dfir-orc

1. 项目介绍

DFIR ORC(Outil de Recherche de Compromission)是一个专门用于在运行Microsoft Windows系统的计算机上收集关键证据的工具。它是一个模块化和可扩展的工具,旨在以分散的方式收集证据。DFIR ORC不仅可以收集数据,还可以嵌入外部工具及其配置。

DFIR ORC的主要功能包括:

  • 收集关键证据,如MFT、注册表Hive和事件日志。
  • 支持嵌入外部工具和配置。
  • 提供一个法医相关的Windows系统快照。

2. 项目快速启动

环境要求

  • Visual Studio 2017 到 2022(仅限英文版本)
  • Kitware's CMake >= 3.25 或 Visual Studio 集成版本
  • 建议使用Microsoft的开发者虚拟机

构建步骤

  1. 克隆仓库

    git clone --recursive https://github.com/DFIR-ORC/dfir-orc.git
cd dfir-orc

  2. 创建构建目录

    mkdir build-x86 build-x64

  3. 构建32位版本

    cd build-x86
cmake -G "Visual Studio 17 2022" -A Win32 -T v141_xp ..
cmake --build . --config MinSizeRel -- -maxcpucount

  4. 构建64位版本

    cd ../build-x64
cmake -G "Visual Studio 17 2022" -A x64 -T v141_xp ..
cmake --build . --config MinSizeRel -- -maxcpucount

注意事项

  • 使用-T v141_xp选项可以确保兼容Windows XP SP2及更高版本。
  • 默认情况下,ORC_BUILD_VCPKG=ON选项会构建external/vcpkg子目录中的vcpkg包。

3. 应用案例和最佳实践

应用案例

DFIR ORC广泛应用于以下场景:

  • 事件响应:在发生安全事件时,快速收集关键证据。
  • 法医分析:为法医分析提供可靠的数据收集工具。
  • 合规性检查:确保系统符合特定的安全标准和法规。

最佳实践

  • 定期更新:确保使用最新版本的DFIR ORC以获得最新的功能和修复。
  • 配置优化:根据具体需求调整配置,以减少对生产环境的影响。
  • 文档记录:详细记录每次收集的数据和配置,以便后续分析和审查。

4. 典型生态项目

DFIR ORC通常与其他开源工具和项目结合使用,以增强其功能和覆盖范围。以下是一些典型的生态项目:

  • Volatility:用于内存分析的强大工具。
  • Autopsy:一个开源的数字取证平台。
  • GRR Rapid Response:一个用于远程实时取证的工具。

这些工具可以与DFIR ORC结合使用,提供更全面的取证和事件响应解决方案。

dfir-orc Forensics artefact collection tool for systems running Microsoft Windows dfir-orc 项目地址: https://gitcode.com/gh_mirrors/df/dfir-orc

杭战昀Grain
关注
dfir-orc:适用于运行Microsoft Windows的系统的取证伪像收集工具
05-03
DFIR ORC文献资料建造要求使用此Visual Studio> = 2017或使用 Kitware的CMake> = 3.12或Visual Studio 2017集成版本LLVM的Clang格式> = 8.0.0或Visual Studio 2019集成版本注意:Visual Studio 2019 16.3(和16.4...
DFIR-Resources
03-20
CChrome合金扩展程序文件夹路径-C:\ Users [登录名] \ AppData \ Local \ Google \ Chrome \ User Data \ Default \ Extensions d后卫 F法证工具包取证(死刑) %SystemDrive%/ hiberfil.sys取证(虚拟) VMware-...
DFIR:各种DFIR工具
04-29
在数字取证和 incident response (DFIR) 领域,工具的选择对于有效地分析和解决安全事件至关重要。"DFIR:各种DFIR工具"这个主题涵盖了红外光谱技术以及一些实用的DFIR工具,如`dump_mft_entry.pl`和`parseusn.py`。...
dfir
02-19
数字取证SANS DFIR海报 与Syscache配置单元一起玩 BAM内部恶意软件下载恶意软件集市 恶意软件分析中心 混合分析 威胁书恶意软件分析Powershell测井备忘单 通过PowerShell日志记录提高可视性 解压缩Confuserex 1.0 ...
dfirnotes:DFIR 笔记本 GCIH 金牌项目,纸
06-09
GIAC Gold 项目和论文:论文草稿、示例、脚本、资源 论文摘要 免费和开源的科学笔记本软件允许响应者以开放、灵活、便携的格式同时执行分析和记录结果,以便于共享和报告。 完整工作的样本可以改善分析师和响应者的...
让-Flutter-在鸿蒙系统上跑起来,目录:鸿蒙系统适配;渲染流程打通;Flutter在鸿蒙系统上的移植
最新发布
09-29
鸿蒙----目录: 1、鸿蒙系统适配 2、渲染流程打通 3、Flutter在鸿蒙系统上的移植
【PFJSP问题】基于matlab灰狼算法GWO求解置换流水车间调度问题PFSP【含Matlab源码 7899期】.mp4
09-28
Matlab领域上传的视频均有对应的完整代码,皆可运行,亲测可用,适合小白; 1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描视频QQ名片; 4.1 博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
基于TypeScript和Vue的日历展示与日程条创建设计源码
09-28
项目为基于TypeScript和Vue构建的日历展示与日程条创建设计源码,包含33个文件,涉及10个TypeScript文件、5个JSON文件、4个LESS样式文件、3个Vue组件文件、2个JavaScript和SVG文件,以及HTML、Git忽略和Markdown文档等。该系统具备日历查看和日程条创建功能,适用于个人或团队日程管理需求。
基于Java语言实现的XXL-JOB分布式定时任务设计源码注释
09-28
项目为XXL-JOB分布式定时任务系统设计源码,采用Java语言开发,辅以JavaScript和CSS进行界面设计。项目文件总计288个,其中Java源文件133个,PNG图片文件35个,JavaScript文件35个,XML配置文件16个,CSS样式文件12个,FTL模板文件11个,属性文件6个,Markdown文件3个,JPG图片文件3个,EOT字体文件3个。源码注释详尽,旨在提升代码可读性和维护性。
基于Vue框架的邻家优选电商平台设计源码
09-28
项目是一款采用Vue框架开发的邻家优选电商平台设计源码,包含共计48个文件,涵盖17个Vue组件文件、10个JavaScript脚本文件、8个JPG图片文件、4个JSON配置文件、4个PNG图片文件,以及必要的配置文件和图标文件。该系统由Ipang组设计,旨在提供一站式购物体验。
基于JavaScript的Express框架开发的前端HTML+CSS设计源码
09-28
项目是一款采用JavaScript及Express框架构建的前端HTML与CSS设计源码集合,共包含228个文件,其中JavaScript文件152个,EJS模板文件20个,Markdown文件13个,文本文件10个,HTML文件8个,模板文件7个,CSS文件4个,YAML文件3个,Handlebars模板文件3个,配置文件1个。该源码集合适用于快速开发前端界面,支持现代Web设计标准。
Flutter应用的调试工具,协助采集性能优化、设计走查、QA测试等数据问题_fdb_package.zip
09-28
Flutter应用的调试工具,协助采集性能优化、设计走查、QA测试等数据问题_,提供UI拾取、UI标_flutter_fdb_package
通过命令提示符在 Windows 上安装和配置 SQL Server.pdf
09-28
sql server2022安装教程——通过命令提示符在 Windows 上安装和配置 SQL Server
【轨迹跟踪】基于matlab模型预测控制MPC轨迹跟踪【含Matlab源码 期】.zip
09-28
1、代码压缩包内容 主函数:main.m; 调用函数:其他m文件;无需运行 运行结果效果图; 2、代码运行版本 Matlab 2019b;若运行有误,根据提示修改;若不会,可私信博主; 3、运行操作步骤 步骤一:将所有文件放到Matlab的当前文件夹中; 步骤二:双击打开main.m文件; 步骤三:点击运行,等程序运行完得到结果; 4、仿真咨询 如需其他服务,可私信博主或扫描博主博客文章底部QQ名片; 4.1 CSDN博客或资源的完整代码提供 4.2 期刊或参考文献复现 4.3 Matlab程序定制 4.4 科研合作
基于分省污染物排放情况的数据分析设计源码
09-28
项目为分省污染物排放情况的数据分析设计源码,包含26个文件,涵盖10个tsv数据文件、4个PNG图表文件、3个png图像文件、3个xlsx表格文件、2个ipynb交互式笔记本文件、2个md文档文件、1个geojson地理数据文件以及1个html网页文件。该设计旨在为污染物排放分析提供数据可视化和处理能力。
基于JavaScript的AHBCSalon区块链技术沙龙管理设计源码
09-28
项目为安徽区块链技术沙龙量身定制,采用JavaScript语言编写,共计32个文件,涵盖13个Solidity合约文件、11个JavaScript源文件、2个Git忽略文件、2个Markdown文件、2个JSON配置文件、1个LICENSE文件及1个npmignore文件。该源码旨在满足沙龙的管理需求和技术展示,是沙龙日常运作和展示区块链技术实力的核心代码库。
内耳包边焊接口罩机_三维3D设计图纸.zip
09-28
内耳包边焊接口罩机_三维3D设计图纸.zip
基于Go语言的青年湖底后端项目设计源码
09-28
项目是青年湖底后端项目的Go语言实现,包含132个文件,其中Go源代码文件124个,辅助文件包括Git忽略规则、Dockerfile、许可证、构建脚本、Markdown文档、Python脚本、模块描述文件和Shell脚本等。该后端项目旨在提供青年湖底平台的服务支撑,采用多种语言进行开发,以适应不同需求和技术栈。
放料机_三维3D设计图纸.zip
09-28
放料机_三维3D设计图纸.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

杭战昀Grain

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值