gigachad80/V.O.L.T.A.S
GitHub: gigachad80/V.O.L.T.A.S
一个用 Go 构建的 TUI 内存取证编排框架,将多款取证工具整合为统一仪表板,让蓝队分析师告别繁琐命令行操作,专注于威胁狩猎本身。
Stars: 1 | Forks: 0
# 🚀 项目名称:V.O.L.T.A.S
#### Volatility Orchestration & Live Triage Analysis Suite:一个基于 TUI 的内存取证、恶意软件分析与威胁狩猎框架,使用 Go 构建。
src="https://github.com/user-attachments/assets/5451d869-8158-45b8-ba7e-08ab365e26ea" width="600" controls>
## 目录
* [📌 概述](#-overview)
* [✨ 功能特性](#-features)
* [🎯 V.O.L.T.A.S 使用前后对比](#-before--after-voltas)
* [🛠️ 依赖与要求](#%EF%B8%8F-dependencies--requirements)
* [📥 安装指南](#-installation-guide)
* [🚀 用法](#-usage)
* [🔧 技术细节](#-technical-details)
* [🤔 为什么叫这个名字?](#-why-this-name)
* [⌚ 开发时间](#-development-time)
* [🙃 为什么开发这个工具](#-why-i-created-this)
* [🙏 致谢与灵感来源](#-credits--inspiration)
* [📞 联系方式](#-contact)
* [📄 许可证](#-license)
### 📌 概述
**V.O.L.T.A.S** 是一个极速的 TUI(Terminal User Interface)编排框架,专为取证分析师、威胁猎人和事件响应人员设计。
无需记忆 50 多个复杂的 Volatility 命令,无需管理冗长的文件路径,也无需手动运行单独的二进制文件进行实时扫描,V.O.L.T.A.S 将所有功能统一到一个**指挥与控制仪表板**中。它自动化了 SANS 内存取证工作流,允许你在几秒钟内在获取、实时扫描和深度分析之间切换。
**核心能力:**
* **编排:** 在一个屏幕上控制 Volatility 3、Moneta、WinPmem 和 HollowsHunter。
* **智能上下文:** 记住你的镜像路径和输出目录(无需重复输入)。
* **实时分类:** 集成支持实时检测代码注入和信标。
* **自动保存:** 自动将输出记录到 `.txt` 或导出到 `.csv`。
### ✨ 功能特性
### 🎯 智能工作流
- **统一仪表板** - 通过 Tab 键(`工具` vs `设置`)和方向键导航。
- **预检** - 运行前自动检查工具是否存在(防止崩溃)。
- **动态输入** - 仅当特定插件需要时,才会智能地提示输入 PID 或 YARA 规则。
- **跨平台逻辑** - 在 Linux 上运行时自动禁用仅限 Windows 的工具(如 Moneta)。
- **自动日志** - 每个命令的输出都保存为 `ImageName-ToolName.txt`。
- **CSV 模式**(`按 X`)- 在美观的终端输出和用于 Excel 的 CSV 导出之间切换。
### 🎯 V.O.L.T.A.S 使用前后对比
| 方面 | 😫 之前(命令行的地狱) | ✨ 之后 V.O.L.T.A.S(仪表板) |
|--------|-------------------------------------|--------------------------------|
| **命令** | 😤 每次都要输入 `python vol.py -f "D:\Case\Mem.dmp" -o "C:\Out" windows.psscan` | 🚀 选择 `PsScan`,按 `Enter`。完成。 |
| **工作流** | 🤯 为了获取、运行 Volatility 和 Moneta,需要在 3 个不同的 CMD 窗口之间切换 | 😎 所有工具都在一个菜单里。Tab 键切换上下文。 |
| **数据** | ⏰ 手动通过管道输出 `> output.txt`,否则数据就会在终端滚动缓冲区中丢失 | ⚡ 立即自动保存到整理好的文件中。 |
| **可靠性** | ❌ 文件路径或插件名称中的拼写错误会导致错误 | ✅ 路径存储在内存中。命令已预配置。 |
### 💡 为什么这很重要
现实世界的事件响应是混乱的。你的桌面通常看起来像一个灾难区,充满了打开的终端、记事本和 PDF 指南。
| 没有 V.O.L.T.A.S | 有 V.O.L.T.A.S |
| :--- | :--- |
| ❌ **碎片化:** Volatility 是 Python 脚本。WinPmem 是 EXE。Moneta 是另一个 EXE。你需要打开 3 个不同的 shell。 | ✅ **统一:** 一个仪表板控制 Python 脚本、获取二进制文件和实时扫描器。 |
| ❌ **重复性高:** 每天输入五十次 `-f "D:\Evidence\Case\Mem.dmp"`。 | ✅ **智能:** 设置镜像路径**一次**。工具会自动将其注入到每个命令中。 |
| ❌ **易丢失:** 如果你关闭终端,你就会丢失命令历史和输出。 | ✅ **持久化:** 所有输出自动保存到文本文件中,供你编写报告。 |
### 🛠️ 依赖与要求
V.O.L.T.A.S 是一个**编排器**。它内部不包含引擎。你必须下载标准的取证工具并将它们放在与 `voltas.exe` 相同的文件夹中。
**⚠️ 必需的可执行文件(下载并放入根文件夹):**
| 工具 | 所需文件名 | 用途 |
| :--- | :--- | :--- |
| **Volatility 3** | `vol.exe` | 核心分析引擎。 |
| **WinPmem** | `winpmem_mini_x64.exe` | 用于内存获取。 |
| **DumpIt** | `DumpIt.exe` | 替代获取方案。 |
| **Moneta** | `moneta64.exe` | 实时恶意软件扫描。 |
| **HollowsHunter** | `hollows_hunter64.exe` | 扫描注入体/Hook。 |
| **InjThread** | `Get-InjectedThreadEx.exe` | 线程注入检测。 |
| **MemProcFS** | `MemProcFS.exe` | 高速分类挂载。 |
### 📥 安装指南
**步骤 1:从源码构建或从 Releases 下载**
```
git clone https://github.com/gigachad80/V.O.L.T.A.S
cd V.O.L.T.A.S
go mod tidy
go build -o voltas.exe
```
或
下载方式:从 [releases](https://github.com/gigachad80/V.O.L.T.A.S/releases) 页面下载最新的二进制文件并将其添加到你的 PATH 中。
**步骤 2:文件夹设置**
1. 创建一个文件夹 `C:\ForensicTools`。如果你在 Linux 上,请将其设置为 `/usr/local/bin/`
2. 将 `voltas.exe` 移动到那里。
3. 将所有依赖的 `.exe` 文件(如上所列)移动到该同一文件夹中。
4. 运行 `voltas.exe`。
### 🚀 用法
**导航:**
* **`Tab`**:在 **TOOLS**(工具)列表和 **SETTINGS**(设置)之间切换。
* **`Up/Down`**:导航菜单。
* **`Enter`**:选择工具 / 运行命令。
* **`X`**:切换 CSV 导出模式。
* **`Esc`**:返回。
**典型工作流:**
1. 启动 V.O.L.T.A.S。
2. 按 `Tab` 键进入 **Settings**。
3. 粘贴你的内存镜像路径(例如 `D:\Dump.mem`)。
4. 按 `Tab` 键返回 **Tools**。
5. 选择 **PsTree** 查看进程。
6. 选择 **Malfind** 狩猎注入。
### 🔧 技术细节
- **语言:** Go (Golang)
- **UI 框架:** [Bubble Tea](https://github.com/charmbracelet/bubbletea) & [Lipgloss](https://github.com/charmbracelet/lipgloss)
- **架构:** 基于状态机的 TUI,带有异步命令执行。
- **安全性:** 实施预检二进制检查,以防止工具丢失时发生运行时崩溃。
### 🤔 为什么叫这个名字?
**V.O.L.T.A.S**
**V**olatility **O**rchestration & **L**ive **T**riage **A**nalysis **S**uite。
而且……“Voltas”是一个非常著名的空调品牌。它能让东西保持凉爽。就像这个工具在激烈的事件响应场景中让你保持冷静一样。❄️😎
### ⌚ 开发时间
大约 **1 小时 58 分 38 秒** 的编码,添加更多功能,编辑 README,以及为了让进度条看起来平滑而与其逻辑作斗争。
### 🙃 为什么开发这个工具
我当时正在研究 **Memory Forensics**(学习 VAD 树、PTE 和 Rootkit)。我意识到虽然*概念*很迷人,但*过程*却很痛苦。
我发现自己一遍又一遍地输入相同的 50 个字符的命令。我看着 **SANS Cheat Sheet** 心想:*“为什么没有一个工具可以自动遵循这个 PDF 执行呢?”*
所以我构建了它。我想专注于 **Finding Evil**(寻找邪恶),而不是输入文件路径。
### 🙏 致谢与灵感来源
该项目完全依赖于行业巨头。V.O.L.T.A.S 只是指挥家;他们是音乐家。
* **SANS Institute:** 特别是 Chad Tilbury 编写的 **SANS FOR508 Memory Forensics Cheat Sheet**。这个工具实际上就是该 PDF 的代码化版本。
* **The Volatility Foundation:** 用于构建世界上最好的内存框架。
* **Forrest Orr:** 用于 Moneta(一个绝对强悍的工具)。
* **Hasherezade:** 用于 HollowsHunter。
*免责声明:这是一个独立的开源项目,不隶属于 SANS 或 Volatility Foundation。*
### 📞 联系方式
📧 Email: **pookielinuxuser@tutamailcom**
### 📄 许可证
**MIT Licence**
**Made with ❤️ in Go** - 献给蓝队。🛡️
首次发布 (v2) : 2025年12月12日
最后更新 : 2025年12月12日
如果 V.O.L.T.A.S 对你的取证工作流有所帮助,请考虑 **给它一个 Star!** ⭐
这有助于其他人发现该项目,也能激励我开发更多项目🥹🥹😭😭
src="https://github.com/user-attachments/assets/5451d869-8158-45b8-ba7e-08ab365e26ea" width="600" controls>
## 目录
* [📌 概述](#-overview)
* [✨ 功能特性](#-features)
* [🎯 V.O.L.T.A.S 使用前后对比](#-before--after-voltas)
* [🛠️ 依赖与要求](#%EF%B8%8F-dependencies--requirements)
* [📥 安装指南](#-installation-guide)
* [🚀 用法](#-usage)
* [🔧 技术细节](#-technical-details)
* [🤔 为什么叫这个名字?](#-why-this-name)
* [⌚ 开发时间](#-development-time)
* [🙃 为什么开发这个工具](#-why-i-created-this)
* [🙏 致谢与灵感来源](#-credits--inspiration)
* [📞 联系方式](#-contact)
* [📄 许可证](#-license)
### 📌 概述
**V.O.L.T.A.S** 是一个极速的 TUI(Terminal User Interface)编排框架,专为取证分析师、威胁猎人和事件响应人员设计。
无需记忆 50 多个复杂的 Volatility 命令,无需管理冗长的文件路径,也无需手动运行单独的二进制文件进行实时扫描,V.O.L.T.A.S 将所有功能统一到一个**指挥与控制仪表板**中。它自动化了 SANS 内存取证工作流,允许你在几秒钟内在获取、实时扫描和深度分析之间切换。
**核心能力:**
* **编排:** 在一个屏幕上控制 Volatility 3、Moneta、WinPmem 和 HollowsHunter。
* **智能上下文:** 记住你的镜像路径和输出目录(无需重复输入)。
* **实时分类:** 集成支持实时检测代码注入和信标。
* **自动保存:** 自动将输出记录到 `.txt` 或导出到 `.csv`。
### ✨ 功能特性
### 🎯 智能工作流
- **统一仪表板** - 通过 Tab 键(`工具` vs `设置`)和方向键导航。
- **预检** - 运行前自动检查工具是否存在(防止崩溃)。
- **动态输入** - 仅当特定插件需要时,才会智能地提示输入 PID 或 YARA 规则。
- **跨平台逻辑** - 在 Linux 上运行时自动禁用仅限 Windows 的工具(如 Moneta)。
- **自动日志** - 每个命令的输出都保存为 `ImageName-ToolName.txt`。
- **CSV 模式**(`按 X`)- 在美观的终端输出和用于 Excel 的 CSV 导出之间切换。
### 🎯 V.O.L.T.A.S 使用前后对比
| 方面 | 😫 之前(命令行的地狱) | ✨ 之后 V.O.L.T.A.S(仪表板) |
|--------|-------------------------------------|--------------------------------|
| **命令** | 😤 每次都要输入 `python vol.py -f "D:\Case\Mem.dmp" -o "C:\Out" windows.psscan` | 🚀 选择 `PsScan`,按 `Enter`。完成。 |
| **工作流** | 🤯 为了获取、运行 Volatility 和 Moneta,需要在 3 个不同的 CMD 窗口之间切换 | 😎 所有工具都在一个菜单里。Tab 键切换上下文。 |
| **数据** | ⏰ 手动通过管道输出 `> output.txt`,否则数据就会在终端滚动缓冲区中丢失 | ⚡ 立即自动保存到整理好的文件中。 |
| **可靠性** | ❌ 文件路径或插件名称中的拼写错误会导致错误 | ✅ 路径存储在内存中。命令已预配置。 |
### 💡 为什么这很重要
现实世界的事件响应是混乱的。你的桌面通常看起来像一个灾难区,充满了打开的终端、记事本和 PDF 指南。
| 没有 V.O.L.T.A.S | 有 V.O.L.T.A.S |
| :--- | :--- |
| ❌ **碎片化:** Volatility 是 Python 脚本。WinPmem 是 EXE。Moneta 是另一个 EXE。你需要打开 3 个不同的 shell。 | ✅ **统一:** 一个仪表板控制 Python 脚本、获取二进制文件和实时扫描器。 |
| ❌ **重复性高:** 每天输入五十次 `-f "D:\Evidence\Case\Mem.dmp"`。 | ✅ **智能:** 设置镜像路径**一次**。工具会自动将其注入到每个命令中。 |
| ❌ **易丢失:** 如果你关闭终端,你就会丢失命令历史和输出。 | ✅ **持久化:** 所有输出自动保存到文本文件中,供你编写报告。 |
### 🛠️ 依赖与要求
V.O.L.T.A.S 是一个**编排器**。它内部不包含引擎。你必须下载标准的取证工具并将它们放在与 `voltas.exe` 相同的文件夹中。
**⚠️ 必需的可执行文件(下载并放入根文件夹):**
| 工具 | 所需文件名 | 用途 |
| :--- | :--- | :--- |
| **Volatility 3** | `vol.exe` | 核心分析引擎。 |
| **WinPmem** | `winpmem_mini_x64.exe` | 用于内存获取。 |
| **DumpIt** | `DumpIt.exe` | 替代获取方案。 |
| **Moneta** | `moneta64.exe` | 实时恶意软件扫描。 |
| **HollowsHunter** | `hollows_hunter64.exe` | 扫描注入体/Hook。 |
| **InjThread** | `Get-InjectedThreadEx.exe` | 线程注入检测。 |
| **MemProcFS** | `MemProcFS.exe` | 高速分类挂载。 |
### 📥 安装指南
**步骤 1:从源码构建或从 Releases 下载**
```
git clone https://github.com/gigachad80/V.O.L.T.A.S
cd V.O.L.T.A.S
go mod tidy
go build -o voltas.exe
```
或
下载方式:从 [releases](https://github.com/gigachad80/V.O.L.T.A.S/releases) 页面下载最新的二进制文件并将其添加到你的 PATH 中。
**步骤 2:文件夹设置**
1. 创建一个文件夹 `C:\ForensicTools`。如果你在 Linux 上,请将其设置为 `/usr/local/bin/`
2. 将 `voltas.exe` 移动到那里。
3. 将所有依赖的 `.exe` 文件(如上所列)移动到该同一文件夹中。
4. 运行 `voltas.exe`。
### 🚀 用法
**导航:**
* **`Tab`**:在 **TOOLS**(工具)列表和 **SETTINGS**(设置)之间切换。
* **`Up/Down`**:导航菜单。
* **`Enter`**:选择工具 / 运行命令。
* **`X`**:切换 CSV 导出模式。
* **`Esc`**:返回。
**典型工作流:**
1. 启动 V.O.L.T.A.S。
2. 按 `Tab` 键进入 **Settings**。
3. 粘贴你的内存镜像路径(例如 `D:\Dump.mem`)。
4. 按 `Tab` 键返回 **Tools**。
5. 选择 **PsTree** 查看进程。
6. 选择 **Malfind** 狩猎注入。
### 🔧 技术细节
- **语言:** Go (Golang)
- **UI 框架:** [Bubble Tea](https://github.com/charmbracelet/bubbletea) & [Lipgloss](https://github.com/charmbracelet/lipgloss)
- **架构:** 基于状态机的 TUI,带有异步命令执行。
- **安全性:** 实施预检二进制检查,以防止工具丢失时发生运行时崩溃。
### 🤔 为什么叫这个名字?
**V.O.L.T.A.S**
**V**olatility **O**rchestration & **L**ive **T**riage **A**nalysis **S**uite。
而且……“Voltas”是一个非常著名的空调品牌。它能让东西保持凉爽。就像这个工具在激烈的事件响应场景中让你保持冷静一样。❄️😎
### ⌚ 开发时间
大约 **1 小时 58 分 38 秒** 的编码,添加更多功能,编辑 README,以及为了让进度条看起来平滑而与其逻辑作斗争。
### 🙃 为什么开发这个工具
我当时正在研究 **Memory Forensics**(学习 VAD 树、PTE 和 Rootkit)。我意识到虽然*概念*很迷人,但*过程*却很痛苦。
我发现自己一遍又一遍地输入相同的 50 个字符的命令。我看着 **SANS Cheat Sheet** 心想:*“为什么没有一个工具可以自动遵循这个 PDF 执行呢?”*
所以我构建了它。我想专注于 **Finding Evil**(寻找邪恶),而不是输入文件路径。
### 🙏 致谢与灵感来源
该项目完全依赖于行业巨头。V.O.L.T.A.S 只是指挥家;他们是音乐家。
* **SANS Institute:** 特别是 Chad Tilbury 编写的 **SANS FOR508 Memory Forensics Cheat Sheet**。这个工具实际上就是该 PDF 的代码化版本。
* **The Volatility Foundation:** 用于构建世界上最好的内存框架。
* **Forrest Orr:** 用于 Moneta(一个绝对强悍的工具)。
* **Hasherezade:** 用于 HollowsHunter。
*免责声明:这是一个独立的开源项目,不隶属于 SANS 或 Volatility Foundation。*
### 📞 联系方式
📧 Email: **pookielinuxuser@tutamailcom**
### 📄 许可证
**MIT Licence**
**Made with ❤️ in Go** - 献给蓝队。🛡️
首次发布 (v2) : 2025年12月12日
最后更新 : 2025年12月12日
如果 V.O.L.T.A.S 对你的取证工作流有所帮助,请考虑 **给它一个 Star!** ⭐
这有助于其他人发现该项目,也能激励我开发更多项目🥹🥹😭😭标签:DAST, EVTX分析, FTP漏洞扫描, Go语言, HollowsHunter, HTTPS请求, HTTP请求, JARM, Linux取证, Live Triage, Mr. Robot, SANS取证流程, SecList, TUI, Windows取证, WinPmem, 内存分析, 内存取证, 后渗透, 安全编排, 库, 应急响应, 恶意软件分析, 数字取证, 数据包嗅探, 无线安全, 日志审计, 沙箱逃逸检测, 流量嗅探, 程序破解, 终端用户界面, 编排框架, 网络安全, 网络安全审计, 自动化分析, 自动化脚本, 跨站脚本, 进程注入检测, 隐私保护