EVTX-Hunter 使用与安装指南

---

1. 项目目录结构及介绍

EVTX-Hunter 是一个专为快速识别Windows事件查看器(EVTX)文件中安全相关活动而设计的Python工具。下面是该项目的基本目录结构及其简介：

.
├── app                      # 包含应用的核心代码
├── documentation             # 文档和截图等辅助说明材料
│   └── screenshots          # 工具使用的示例或截图
├── external                  # 可能存放第三方或额外支持文件
├── rules                     # 规则文件夹，定义监控的行为准则
│   ├── first_occurrence.json # 监控首次发生事件的规则
│   └── interesting_events.json # 监控特定事件每次发生的规则
├── stylesheets               # 包含CSS样式表，用于自定义报告的外观
├── .gitignore                # Git忽略文件配置
├── LICENSE                   # 项目采用的GPL-3.0许可证文件
├── readme.md                 # 主要的项目说明文档
├── requirements.txt          # Python依赖文件，列出运行所需的库
└── evtx_hunter.py            # 项目的主要执行脚本

2. 项目的启动文件介绍

启动文件: evtx_hunter.py

这是EVTX-Hunter的主程序文件，它负责处理命令行参数并执行对EVTX文件的搜索逻辑。用户通过在命令行中调用此脚本来开始分析指定文件夹中的所有EVTX文件。基本使用方式如下：

python evtx_hunter.py <evtx_folder>

这里，<evtx_folder>是你想要扫描的包含EVTX文件的文件夹路径。

3. 项目的配置文件介绍

rules/first_occurrence.json 和 rules/interesting_events.json

EVTX-Hunter使用JSON格式的规则文件来定义哪些事件被认为是“有趣”或需要特别关注的。这些配置文件位于rules目录下，分别处理首次发生的特定事件和任何时间发生的特定事件的监控。

• first_occurrence.json: 定义了监控标准，以捕获如新DNS查询、特定进程首次启动、新服务安装等活动。
• interesting_events.json: 确定应该监视的一般事件，例如用户账号锁定或清除事件日志等重复性重要活动。

用户可以根据需求定制这些规则文件，添加新的观察条件或者修改现有规则，以便适应不同的调查和威胁狩猎场景。

---

以上就是关于EVTX-Hunter项目的基础结构、启动流程以及配置管理的简明指南。遵循这些建议，你可以有效地利用该工具来进行安全事件的快速分析和响应。