redzeptech/disktriage-tr

# DiskTriage TR **电子取证预审查** 模块化且可扩展的分析工具。提供磁盘镜像、文件夹和 Windows artifact 的快速取证、哈希验证和报告功能。 ## 项目结构 ``` disktriage-tr-1.0.0/ ├── disktriage/ # Ana paket │ ├── __init__.py │ ├── cli.py # Komut satırı orkestrasyonu │ └── modules/ # Analiz, raporlama, maskeleme modülleri │ ├── io.py, processing.py, models.py, utils.py │ ├── prefetch.py, browser_history.py, evtx.py, userassist.py │ ├── persistence.py, virustotal.py, timeline.py │ ├── anonymizer.py # Maskeleme │ ├── reporting.py, html_report.py, report_generator.py │ └── logging_utils.py, console_output.py ├── tests/ # Test senaryoları ├── main.py # Giriş noktası ├── dashboard.py # Streamlit dashboard ├── build.py # PyInstaller build ├── pyproject.toml # Paket kurulumu └── requirements.txt ``` ## 技术栈 | 技术 | 用途 | |-----------|----------| | **Python 3.9+** | 主语言 | | **Plotly** | 交互式图表 | | **Pandas** | 大规模清单的快速数据处理 | | **Streamlit** | 基于 Web 的仪表盘 | | **Chart.js** | HTML 报告图表 | | **DataTables.net** | 可过滤表格 | | **Rich** | 终端输出格式化 | | **PyInstaller** | 单文件 分发 | ## 功能特性 ### Artifact 收集 - **文件系统**: 清单扫描, MACE 时间, 最大/最近修改的文件, 扩展名分布 - **Prefetch**: 最近运行的程序 - **浏览器历史**: Chrome, Edge, Firefox (History / places.sqlite) - **Windows Event Log**: System (Critical/Error), Security (logon 4624/4625) - **UserAssist**: HKCU 最近运行痕迹 - **持久化**: Run keys, Startup 文件夹, 服务, 计划任务 - **Timeline**: 所有 artifact 的按时间顺序合并 ### 脱敏处理 - 自动掩码个人数据 (默认: 开启) - 用户目录路径 (`C:\Users\\...` → `[HIDDEN]`) - PC 名称, IP 地址, 用户名 - 可通过 `--no-anonymize` 关闭 ### 交互式 HTML 报告 - **report.html**: Chart.js 图表, 表格, 搜索过滤 - **report_[timestamp].html**: Plotly + DataTables, 暗色模式 - 时间轴, 文件类型分布, 错误/警告摘要 - VirusTotal 结果 (恶意/可疑 高亮显示) ## 安装说明 ### 前置条件 - Python 3.9 或更高版本 - Windows (用于 Prefetch, UserAssist, EVTX 模块) ### 安装步骤 ``` # 克隆或下载 Depoyu cd disktriage-tr-1.0.0 # 创建虚拟环境（推荐） python -m venv venv venv\Scripts\activate # Windows # source venv/bin/activate # Linux/macOS # 安装 Bağımlılıkları pip install -r requirements.txt # 或安装为 paket： pip install -e . # 验证 Kurulumu python main.py --help # 或 paket 安装后： disktriage --help ``` ## 运行原理 ``` ┌─────────────────────────────────────────────────────────────────────────────┐ │ DiskTriage TR — Akış Şeması │ └─────────────────────────────────────────────────────────────────────────────┘ ┌──────────────┐ ┌──────────────────────────────────────────────────────┐ │ HEDEF │ │ VERİ TOPLAMA │ │ (Klasör / │────▶│ • Hash (SHA256/MD5) │ │ Dosya / │ │ • Envanter (ThreadPoolExecutor, --workers) │ │ Disk imajı)│ │ • Prefetch, Browser History, EVTX, UserAssist │ └──────────────┘ │ • Persistence (Run keys, Services, Tasks) │ └─────────────────────┬──────────────────────────────────┘ │ ▼ ┌──────────────────────────────────────────────────────────────────────────────┐ │ İŞLEME & BİRLEŞTİRME │ │ • Özet (Pandas/Python fallback) • Timeline (kronolojik sıralama) │ │ • Anonymizer (maskeleme) • VirusTotal (opt-in, SHA256) │ └─────────────────────────────────────┬──────────────────────────────────────┘ │ ▼ ┌──────────────────────────────────────────────────────────────────────────────┐ │ RAPOR ÜRETİMİ │ │ report.txt │ report.json │ reports/report.html │ reports/report_*.html │ │ reports/timeline.csv │ reports/disktriage.log │ └──────────────────────────────────────────────────────────────────────────────┘ ``` **流程概要:** 1. 确定目标 (文件夹/文件)。 2. 模块并行/串行收集数据 (hash, 清单, artifact)。 3. 数据被处理、汇总，并应用可选的掩码。 4. 生成 TXT, JSON, HTML 和 CSV 报告。 ## 使用指南 ### CLI (命令行) ``` # 基本 klasör 分析 python main.py "D:\DELIL_EXPORT" # 指定 Çıktı klasörü python main.py "D:\DELIL_EXPORT" --out "D:\raporlar\case_001" # 完整分析（所有 modüller） python main.py "D:\DELIL_EXPORT" --out "D:\raporlar" \ --prefetch --browser-history --evtx --userassist --persistence --timeline \ --workers 8 --log-level INFO ``` | 参数 | 说明 | |-----------|----------| | `--prefetch` | Windows Prefetch 分析 | | `--browser-history` | Chrome/Edge/Firefox 历史 | | `--evtx` | Windows Event Log 摘要 | | `--userassist` | UserAssist (HKCU) 痕迹 | | `--persistence` | Run keys, Startup, Services, Tasks | | `--timeline` | 时间轴 (按时间顺序) | | `--virustotal` | VirusTotal 检查 (需要 `VT_API_KEY`) | | `--workers N` | 并行清单数量 (默认: 8) | | `--no-anonymize` | 关闭掩码 | ### Dashboard (Streamlit) ``` streamlit run dashboard.py ``` 在浏览器打开的界面中选择目标，点击 **"开始扫描"** 进行分析。将显示进度条和实时日志流。 ``` ┌─────────────────────────────────────────────────────────┐ │ [Ekran görüntüsü: Streamlit Dashboard] │ │ • Sol panel: Hedef, çıktı, modül seçenekleri │ │ • Ana alan: Tarama Başlat butonu, log akışı │ └─────────────────────────────────────────────────────────┘ ``` ### 示例命令 ``` # Disk imajı hash python main.py "D:\images\disk01.dd" # Offline EVTX python main.py "D:\case" --evtx --evtx-path "D:\case\System.evtx" --evtx-days 30 # VirusTotal（需要 VT_API_KEY ortam değişkeni） set VT_API_KEY=your_key python main.py "D:\DELIL_EXPORT" --persistence --virustotal --vt-max 25 ``` ``` ┌─────────────────────────────────────────────────────────┐ │ [Ekran görüntüsü: Terminal çıktısı] │ │ python main.py "D:\DELIL_EXPORT" --prefetch │ │ Run started. target=D:\DELIL_EXPORT ... │ │ Inventory done. scanned=15234 records=15234 │ │ Raporlar: D:\...\disktriage_out\reports\ │ └─────────────────────────────────────────────────────────┘ ``` ## 输出文件 | 文件 | 说明 | |-------|----------| | `report.txt` | 人类可读摘要 | | `report.json` | 结构化数据 (SIEM 集成) | | `reports/report.html` | Chart.js 交互式报告 | | `reports/report_[timestamp].html` | Plotly + DataTables (暗色模式) | | `reports/report.json` | HTML 伴随的 JSON 副本 | | `reports/timeline.csv` | 按时间顺序的事件列表 | | `reports/disktriage.log` | 运行日志 | ## 性能与稳定性 - **Threading**: 使用 `--workers 8` 在大型目录中提速 - **Pandas**: 80k+ 记录自动加速 - **日志级别**: `--log-level DEBUG|INFO|WARNING|ERROR` - **错误处理**: 访问被拒绝 / 文件未找到时不会崩溃，而是将警告写入报告 ## 使用 Cursor 的改进流程 在 Cursor 中打开项目并使用 `Ctrl+L` 打开聊天面板： - **代码分析**: `@Files` + "分析弱点" - **重构**: "模块化，应用 DRY" - **新功能**: "添加 UserAssist / EVTX / Timeline 模块" - **构建**: "使用 PyInstaller 生成 exe" ## 免责声明 本软件仅用于**教育和意识提升**目的。在实际的法律取证过程中，应使用专家分析和适当的程序。

标签：Ask搜索, ESC漏洞, EVNX, HTTPS请求, HTTP工具, Incident Response, Kubernetes, Mutation, PE 加载器, Plotly, Prefetch分析, Python, Streamlit, Triage, UserAssist, VirusTotal, Web仪表盘, Windows Artifacts, Windows取证, 事件日志分析, 二进制发布, 可视化, 后渗透, 哈希验证, 库, 应急响应, 开源工具, 持久化检测, 搜索语句（dork）, 数字取证, 数据脱敏, 无后门, 浏览器历史, 漏洞挖掘, 病毒扫描, 磁盘取证, 磁盘镜像分析, 网络信息收集, 网络安全, 网络安全, 网络安全审计, 自动化脚本, 访问控制, 证据收集, 逆向工具, 隐私保护, 隐私保护