dot-sys/VortexViewer

Vortex Viewer

一款用于在运行的 Win10/11 系统中进行快速分类的轻量级工具，能够提取 Journal、执行时间线和 Drive-Logs，并内置 Process Memory String Parsing Tool。

如果您觉得这个项目有用，请点个 ⭐。

### 概述 **Vortex Viewer** 是一款使用 C# 和 .Net 4.6.2 构建的小型 Windows 取证与系统分类工具，旨在实现最大的系统兼容性，专为快速应急响应和数字取证分析而设计。它将多个专用的解析器组合成一个单独的可执行文件。它可以在任何 U 盘上运行，也可以在屏幕共享期间运行。 #### 系统信息 提供专注于唯一标识系统的系统信息，包括硬件详细信息和 OS 配置。它具有少量的日志篡改概览功能，可在响应期间快速识别关键的系统特征。 #### USN Journal 从所有挂载的驱动器中提取并解析 NTFS Change Journal (USN Journal)，通过时间戳、文件操作（创建、修改、删除）捕获文件系统活动，并使用 MFT 引用来构建完整路径。它在具有筛选和搜索功能的交互式 DataGrid 中显示条目，以便进行快速调查。 #### 执行时间线 通过聚合多个数据源构建按时间顺序排列的执行时间线，包括： - 注册表项：AmCache、BAM、MuiCache、Shellbags、ShimCache、UserAssist 以及许多其他项 - Event-Logs：来自 evtx 文件的执行追踪 - Prefetch：解析 Prefetch 文件，包括其上次运行日期 - WER-Fault 日志 提供应用程序执行历史的统一视图，使调查人员能够建立攻击顺序并识别可疑的进程活动。 #### Drive Logs 聚合来自所有连接驱动器的文件系统元数据，包括 NTFS Master File Table (MFT) 条目、文件属性和卷信息。提供全面的驱动器枚举，用于收集可能连接的驱动器及驱动器操作的取证工件。 #### Process Memory String Parser 直接从正在运行的进程的进程内存中解析字符串数据，无需写入磁盘。适用于从实时内存中提取命令行参数、执行追踪、网络连接以及其他运行时工件——所有这些都在 GUI 中捕获和显示，没有 CSV 导出的开销。 ### 功能 - **单一独立 EXE**：所有依赖项均已嵌入 - **无需安装**：可直接从 USB 运行 - **实时系统分析**：无需修改系统或进行预处理转储即可进行实时分类 - **交互式 DataGrids**：在应用内对结果进行筛选、排序和搜索 - **快速分类**：经过速度优化 - 几秒钟内即可完成完整的应急响应分析 - **多语言支持**：提供多种语言翻译 - EN、DE、UA、RU、ES、PT ### 系统要求 - .NET Framework 4.6.2 - Windows 10 或 Windows 11 (64-bit) - 管理员权限（完整的 journal 和进程内存访问需要此权限）

标签：AmCache, DAST, HTTPS请求, IPv6支持, MFT引用, .NET 4.6.2, Prefetch解析, ShimCache, USB运行, USN日志解析, Vortex Viewer, Windows取证, 事件日志分析, 内存字符串提取, 子域名变形, 库, 应急响应, 恶意软件分析, 执行时间轴, 数字取证, 数字调查, 数据包嗅探, 数据展示, 无线安全, 日志防篡改检测, 注册表解析, 流量嗅探, 端点可见性, 系统信息收集, 系统分类, 红队, 自动化脚本, 触屏取证, 路径枚举, 轻量级工具, 进程分析, 驱动器日志