nishaonkarpatel/Anti-Forensic-Detection-Tool

<<<<<<< HEAD # TraceHunter # TraceHunter (Anti-Forensic Detection Tool) 是一个基于 Python 的 Windows 取证工具，用于检测反取证技术，分析 EVTX 日志，检查 MFT 时间戳篡改，检查回收站和卷影副本，并通过雕刻恢复已删除的文件。 # AFDT — 反取证检测工具 AFDT 是一个专注于 Windows 的取证分析 GUI，**针对挂载的 Windows 卷**（例如 `I:`）工作。 它对 EVTX 日志、回收站、卷影副本（对离线镜像尽力而为）执行检查，通过签名进行基本的反取证应用程序检测，并使用 `MFTECmd.exe` 进行 MFT 时间戳篡改检测。 它还包含一个用于常见类型的**简单的、尽力而为的文件雕刻器**。 ## 功能 - 审查 Windows 事件日志服务（通过关键事件和 EVTX 健康状况检测篡改指标） - 识别 EVTX 中的日志删除（例如，Security 1102） - 按日期范围统计 EVTX 事件 - 通过 `MFTECmd.exe` 检测时间戳篡改（对比 StandardInfo 与 FileName 时间戳） - 回收站检查 ($Recycle.Bin) - 反取证工具存在性检查（在 Program Files 和其他位置进行签名扫描） - 卷影副本存在性检查（对离线镜像进行尽力而为的检查） - JPG, PNG, EXE, PS1, TXT, PF, BAT 类型的**雕刻**（基于签名的尽力而为） ## 系统要求 - Windows 10/11 主机 - Python 3.10+ - 具有驱动器号（例如 `I:`）的挂载取证镜像 - 管理员权限 - 外部工具：`tools/MFTECmd.exe`（**不**包含在内）。请从 Eric Zimmerman 的工具集中下载并放置在此处。 ## 快速开始 ``` # 1) 安装依赖 pip install -r requirements.txt # 2) 执行 python afdt.py # 3) 如何运行 Enter drive letter for carving Click on Carving button, wait for process to finish or press stop button Enter drive letter/folder path Click on Start Analysis button, wait for process to finish Click on View Dashboard button or Export Report button to see concise forensic report(in chosen format) ``` ## 构建独立 EXE (PyInstaller) ``` pip install pyinstaller pyinstaller --noconfirm --onefile --add-data "signatures;signatures" --add-binary "tools/MFTECmd.exe;tools" afdt.py # 生成的 AFDT.exe 将位于 dist/ ``` ## 注意事项与限制 - EVTX 解析使用 `python-evtx`（只读）。某些较新的 Windows 事件架构可能缺少扩展字段。 - 卷影副本检查在挂载镜像上是*启发式*的：AFDT 会查找已知的 SVI 工件。针对离线镜像运行 `vssadmin` 无法工作。 - 雕刻是**基于签名的尽力而为**，可能会产生误报/漏报。对于重要情况，请首选专业雕刻工具（例如 Magnet Axiom, X-Ways, Autopsy/TSK 等）。 - 时间戳篡改检测依赖于 `MFTECmd.exe` 的 CSV 输出；结果是用于深入审查的启发式指标。 - 务必使用辅助工具和程序验证发现。

标签：EVTX分析, GUI取证界面, HTTPS请求, MFTECmd, MFT时间戳篡改, Python取证工具, Timestomp检测, Windows取证, 主机取证, 事件日志分析, 卷影副本分析, 反取证检测, 司法鉴定, 回收站分析, 域渗透, 子域名变形, 安全调查, 库, 应急响应, 数字取证, 数据恢复, 数据擦除检测, 文件雕刻, 漏洞挖掘, 电子数据取证, 痕迹分析, 离线取证, 网络安全, 自动化脚本, 逆向工具, 隐写术检测, 隐私保护