f0x4n6/ffind

# ffind 在挂载点或运行中的系统里查找取证证据。 ``` go install go.foxforensics.dev/ffind@latest ``` ## 用法 ``` $ ffind [-rcsuqhv] [-H CRC32|MD5|SHA1|SHA256] [-C CSV] [-Z ZIP] [MOUNT ...] ``` 可用选项： - `-H` 哈希算法 - `-C` CSV 列表名称 - `-Z` Zip 归档名称 - `-r` 相对路径 - `-c` 卷影副本 - `-s` 仅系统证据 - `-u` 仅用户证据 - `-q` 安静模式 - `-h` 显示用法 - `-v` 显示版本 ## 证据类型 Windows 7+ 系统支持的证据类型： - [系统 Active Directory](https://forensics.wiki/active_directory/) - [系统注册表配置单元](https://forensics.wiki/windows_registry/) - [系统预读取文件](https://forensics.wiki/prefetch/) - [系统事件日志](https://forensics.wiki/windows_event_log_%28evt%29/) - [系统 AmCache](https://forensics.wiki/amcache/) - [用户注册表配置单元](https://forensics.wiki/windows_registry/) - [用户跳转列表](https://forensics.wiki/jump_lists/) - [用户浏览器历史记录](https://forensics.wiki/google_chrome/) ## 许可证 基于 [MIT 许可证](LICENSE.md) 发布。

标签：AmCache, EVTX分析, forensics, Go语言, HTTPS请求, incident-response, Jump Lists, Prefetch文件, Windows取证, 事件日志, 卷影复制, 取证工具, 哈希计算, 域渗透, 库, 应急响应, 数字取证, 文档结构分析, 日志审计, 注册表分析, 活动目录, 浏览器历史, 电子数据取证, 痕迹提取, 磁盘挂载, 程序破解, 自动化脚本