K1ngB3ru/Automated-Forensics-Tool

# 🔍 BitProbe — Scan **通过自动化的位级检查，简化数字取证。** ## 🎯 工具功能 BitProbe — Scan 是一个**一体化可执行文件**，可自动执行以下操作： 1. ✅ 安装所有取证工具和依赖项 2. ✅ 捕获易失性系统数据（进程、网络、日志、注册表、浏览器历史记录、内存） 3. ✅ 生成各个工具的独立报告 4. ✅ 将所有内容汇编成一份主取证报告 5. ✅ 将所有输出整理到带有时间戳的文件夹中 **无需手动设置！** 只需运行 .exe 并收集您的报告。 ## 🚀 快速入门（3 个步骤） ### 第一步：获取工具 **选项 A - 使用预构建的可执行文件（推荐）** ``` Download: BitProbe-Scan.exe Location: Will be in dist/ folder after building ``` **选项 B - 自行构建** ``` python build_executable.py ``` ### 第二步：在目标系统上运行 ``` 1. Copy BitProbe-Scan.exe to target system 2. Right-click → "Run as Administrator" 3. Wait 2-5 minutes for completion ``` ### 第三步：收集报告 ``` Output locations (project root when you run the tool): 📁 reports/master/MASTER_FORENSIC_REPORT_[timestamp].txt 📁 reports/individual/ (all individual reports) 📁 artifacts/ (raw data: memory dumps, PCAPs, etc.) 📁 artifacts/logs/ (run and install logs) 📁 downloads/ (installer files cached during tool setup) 📁 tools/ (Sysinternals, Ghidra, WinPMEM — created by installer) ``` ## 📋 系统要求 - **操作系统：** Windows 10/11 (64-bit) - **权限：** 需要管理员权限 - **存储空间：** 500 MB - 8 GB（包含内存转储） - **内存：** 最低 4 GB ## 📊 捕获内容 | 类别 | 详情 | |----------|---------| | **系统信息** | 操作系统版本、硬件规格、磁盘使用情况 | | **进程** | 运行中的进程、PID、内存使用情况 | | **网络** | 活动连接、监听端口、TCP/UDP 会话 | | **系统日志** | 安全、应用程序、系统事件日志（各最近 50 条） | | **注册表** | 启动项、运行键、持久化机制 | | **浏览器历史记录** | Chrome、Firefox、Edge（最近 100 个 URL） | | **内存转储** | 完整的 RAM 捕获（可选） | ## 🖥️ 示例输出 ### 主报告结构 ``` ╔═══════════════════════════════════════════════════════════╗ ║ ║ ║ MASTER FORENSIC ANALYSIS REPORT ║ ║ ║ ╚═══════════════════════════════════════════════════════════╝ Report Generated: 2024-11-03 14:30:22 Analysis Duration: 3.2 minutes Total Individual Reports: 7 TABLE OF CONTENTS ──────────────────────────────────────────────────────────── 1. System Information 2. Running Processes 3. Network Connections 4. System Logs 5. Registry Artifacts 6. Browser History 7. Memory Dump [... detailed findings from each section ...] ``` ## ⚠️ 重要警告 ### 🔴 必须以管理员身份运行 该工具需要管理员权限才能访问系统日志、注册表并创建内存转储。 ### 🔴 杀毒软件可能会拦截 内存捕获和系统访问可能会触发杀毒软件。如有必要，请添加白名单例外。 ### 🔴 在虚拟机中进行恶意软件分析 **绝不要**在生产系统中运行恶意软件。请始终使用隔离的虚拟机 (VM)： - 在执行前拍摄快照 - 断开网络连接 - 使用 Host-Only 网络适配器 ### 🔴 数据隐私 捕获的数据包括： - 浏览器历史记录（URL、搜索记录） - 运行中的进程（可能包含敏感数据） - 网络连接（IP 地址） 请妥善处理！ ## 🛠️ 开发模式 ### 作为 Python 脚本运行 ``` # 从 repository 根目录，在 pip install -r requirements.txt 之后 python src/forensic_master.py ``` ### 构建可执行文件 ``` pip install pyinstaller python src/build_executable.py # 输出：dist/BitProbe-Scan.exe ``` ## 📂 项目布局 ``` BitProbe/ ├── src/ # Application code (forensic_master, capture_artifacts, …) ├── tests/ # Pytest / unittest suite ├── config/ # settings.ini, tools_config.json ├── rules/ # YARA rules (malware_rules.yar) ├── scripts/ # Optional helpers (verify_installation, cross-platform install) ├── docs/ # Guides ├── artifacts/ # Created at runtime (gitignored) │ ├── logs/ # Run and install logs │ └── ... # memory/, network/, processes/, etc. ├── reports/ # individual/ + master/ (gitignored) ├── downloads/ # Cached installers (gitignored) ├── tools/ # Sysinternals, Ghidra, WinPMEM (gitignored) ├── requirements.txt ├── setup.py └── README.md ``` 如果您仍有先前布局遗留的 `output/` 文件夹，可以将其中的内容移动到上面的文件夹中（名称需匹配），然后删除 `output/`。 ## 🐛 常见问题 ### “未以管理员身份运行” ``` Solution: Right-click .exe → "Run as Administrator" ``` ### “找不到模块：psutil” ``` Solution: pip install psutil wmi pywin32 yara-python ``` ### 浏览器历史记录为空 ``` Cause: Browser is open (locks database) Solution: Close all browsers before running ``` ### 内存转储耗时过长 ``` Normal: Can take 5-10 minutes depending on RAM size To skip: Edit capture_artifacts.py and comment out memory dump ``` ##🎓 针对您的大学项目 ### 需要提交的内容 1. ✅ 源代码（所有 .py 文件） 2. ✅ 可执行文件（.exe 文件） 3. ✅ 示例报告（生成的输出） 4. ✅ 文档（本指南 + 技术细节） 5. ✅ 演示幻灯片 ### 演示提示 1. 展示 .exe 的运行过程（2-3 分钟） 2. 解释执行的每个阶段 3. 打开主报告 4. 突出显示关键发现 5. 讨论应用场景（应急响应、恶意软件分析） ## 📚 了解更多 - [完整项目指南](COMPLETE_PROJECT_GUIDE.md) - 详细文档 - [NIST 计算机取证](https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-86.pdf) - [Windows 取证](https://www.sans.org/blog/a-forensic-analysts-introduction-to-windows-10/) ## 📝 许可证与道德规范 **仅供教育用途** - 用于学习和研究目的 - 分析系统需要获得授权 - 遵守隐私法和机构政策 - 切勿用于未经授权的访问 **有问题？** 请查看 `COMPLETE_PROJECT_GUIDE.md` 获取详细的故障排除指南！

标签：DAST, DNS信息、DNS暴力破解, Ghidra, HTTPS请求, HTTP工具, Mr. Robot, Python安全工具, SecList, Sysinternals, Windows取证, WinPMEM, YARA规则, 内存取证, 内存抓取, 安全报告生成, 安全管理, 恶意软件分析, 数字取证, 数字调查, 数据包嗅探, 无线安全, 日志收集, 易失性数据收集, 注册表分析, 流量抓包, 渗透测试辅助, 漏洞挖掘, 端点检测与响应(EDR)辅助, 系统 artifacts 提取, 网络连接分析, 自动化取证工具, 自动化脚本, 路径枚举, 进程分析, 逆向工具