antoniomalheirs/Forensic_Hex_Dumper

GitHub: antoniomalheirs/Forensic_Hex_Dumper

一款基于.NET 8.0的命令行取证文件分析工具,通过魔数识别130+文件类型并检测扩展名伪造,集成12个分析模块完成哈希、熵值、元数据等一站式提取,生成符合取证标准的报告。

Stars: 0 | Forks: 0

``` _ _ _______ __ ____ _ _ __ __ ____ _____ ____ | | | | ____\ \/ / | _ \| | | | \/ | _ \| ____| _ \ | |_| | _| \ / | | | | | | | |\/| | |_) | _| | |_) | | _ | |___ / \ | |_| | |_| | | | | __/| |___| _ < |_| |_|_____/_/\_\ |____/ \___/|_| |_|_| |_____|_| \_\ ``` ### 🔬 取证文件分析工具 [![.NET](https://img.shields.io/badge/.NET-8.0-512BD4?style=for-the-badge&logo=dotnet&logoColor=white)](https://dotnet.microsoft.com/) [![License](https://img.shields.io/badge/License-MIT-green?style=for-the-badge)](LICENSE) [![Version](https://img.shields.io/badge/Version-2.0--FORENSIC-blue?style=for-the-badge)]() [![Signatures](https://img.shields.io/badge/Signatures-130+-orange?style=for-the-badge)]() [![Status](https://img.shields.io/badge/Tests-130%20Passed-brightgreen?style=for-the-badge)]() **一个功能强大、零依赖\* 的 C# 取证文件分析工具。**
通过魔数(magic bytes)识别文件类型,提取深度元数据,检测反取证技术,
并生成符合法庭标准的报告 —— 全部通过命令行完成。 \* 仅有的外部依赖:用于 EXIF/XMP 解析的 MetadataExtractor NuGet 包 [功能](#-features) • [安装](#-installation) • [用法](#-usage) • [取证模块](#-forensic-modules) • [CLI 参考](#-cli-reference) • [截图](#-screenshots) • [许可证](#-license)
## 🚀 功能
### 🔎 文件识别 - 通过魔数(magic bytes)识别 **130+ 种文件签名** - 基于 ZIP 格式的细化识别(APK, EPUB, DOCX 等) - 基于文本格式的启发式检测 - 扩展名与签名**不匹配检测** ### 🧬 取证分析 - 单次扫描包含 **12 个分析模块** - 加密哈希(MD5, SHA-1, SHA-256, SHA-512, CRC32) - Shannon 熵分析 - NTFS 备用数据流检测
### 📊 深度元数据提取 - 通过 MetadataExtractor 提取 **EXIF / XMP / IPTC / ICC / ID3** - GPS 地理位置信息及 **Google Maps 链接** - PDF 元数据、字体、安全性分析 - PE 头解析(EXE/DLL 架构、导入表) ### 📋 报告生成 - 专业的取证报告导出(.txt) - 案件 ID 和审查员追踪 - UTC 时间戳(国际标准) - 证据保管链免责声明 - VirusTotal 哈希查询链接
## 📦 安装 ### 前置条件 - [.NET 8.0 SDK](https://dotnet.microsoft.com/download/dotnet/8.0) 或更高版本 ### 克隆并构建 ``` git clone https://github.com/YOUR_USERNAME/HEX_Dumper.git cd HEX_Dumper dotnet build -c Release ``` ### 添加到 PATH(可选) ``` # PowerShell (以管理员身份运行) [Environment]::SetEnvironmentVariable("Path", $env:Path + ";C:\path\to\HEX_Dumper\bin\Release\net8.0", "User") ``` 然后打开一个新的终端,即可从任何位置运行 `Hex_Dumper`。 ## 💻 用法 ### 交互模式 不带参数运行以打开交互菜单: ``` Hex_Dumper ``` ``` SENTINEL DATA | STATUS: ACTIVE | ENGINE: v1.0-HEX-ANALYZER === MODO DE ANALISE === ------------------------------------------------ 1. Analisar Arquivo Unico 2. Analisar Multiplos Arquivos (Pasta/Lista) 3. Extrair Metadados Completos 0. Sair ------------------------------------------------ ``` ### CLI 模式 使用命令运行以进行直接、可脚本化的分析: ``` # 快速文件类型识别 Hex_Dumper identify "C:\evidence\suspect_file.jpg" # 输出: JPEG Image (.jpg) # 完整取证分析并导出报告 Hex_Dumper forensic "C:\evidence\file.pdf" --case-id "CASE-2026-001" --examiner "Perito Silva" --export # 分析单个文件 (十六进制转储 + 签名) Hex_Dumper analyze "C:\Users\file.exe" # 批量分析文件夹中的所有文件 Hex_Dumper batch "C:\evidence\folder" # 只需传递文件路径即可快速分析 Hex_Dumper "C:\file.pdf" ``` ## 🔬 取证模块 当运行完整的取证提取(`forensic` 命令或选项 3)时,该工具按顺序运行 **12 个分析模块**: | # | 模块 | 描述 | |:-:|------|-------------| | 1 | **文件系统信息** | 名称、路径、大小、时间戳(本地 + UTC)、NTFS 所有者、属性 | | 2 | **加密哈希** | MD5, SHA-1, SHA-256, SHA-512, CRC32 + **VirusTotal** 查询链接 | | 3 | **十六进制转储** | 前 256 字节的十六进制 + ASCII 并排视图 | | 4 | **熵分析** | Shannon 熵及可视化条形图 —— 检测加密/压缩 | | 5 | **字符串提取** | 所有长度 ≥ 4 个字符的可打印字符串及其十六进制偏移量 | | 6 | **PE 头** | EXE/DLL 分析:架构、节区、导入表、时间戳 | | 7 | **嵌入元数据** | 通过 MetadataExtractor NuGet 通用提取 EXIF/XMP/IPTC/ICC/ID3/QuickTime —— 适用于 JPEG, PNG, MP4, MP3, PDF, TIFF, WebP, HEIF, AVI, WAV, PSD 等格式 | | 8 | **PDF 元数据** | 版本、作者、生成器、字体、页数/尺寸、安全标志(JavaScript、加密、表单、嵌入文件)+ XMP | | 9 | **ZIP 内容** | 归档文件列表,包含压缩大小和压缩率 | | 10 | **签名不匹配** | ⚠️ 比较魔数与文件扩展名 —— **检测重命名/伪装文件** | | 11 | **NTFS ADS** | 🔒 检测备用数据流 + **Zone.Identifier**(下载来源 URL) | | 12 | **字节频率** | 📊 256 字节热力图、可打印/空值/高字节比率、前 10 个字节、内容分类 | ### GPS / 地理位置检测 当在图像中发现 GPS 数据时,工具会以红色警报高亮显示,并提供直接的 **Google Maps** 链接: ``` ================================================== !! GEOLOCATION DATA FOUND !! ================================================== Latitude -23.550520° Longitude -46.633308° Google Maps https://www.google.com/maps?q=-23.550520,-46.633308 ================================================== ``` ### 反取证检测 模块 10 可检测**文件扩展名伪造** —— 最常见的反取证技术: ``` !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !! MISMATCH DETECTED — POSSIBLE ANTI-FORENSIC ACTIVITY !! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! File claims to be : .jpg Actually contains : PE Executable Expected extensions: .exe, .dll, .sys, .scr, .ocx, .drv !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! ``` ## 📖 CLI 参考 ``` USAGE: Hex_Dumper Interactive mode (menu) Hex_Dumper Quick analysis Hex_Dumper [args] [options] CLI mode COMMANDS: analyze, scan, a Full analysis (hex + signature) forensic, meta, f Complete forensic extraction (12 modules) batch, b Analyze all files in a folder identify, id, i Identify file type (simple output) help, h, ? Show help version, v Show version OPTIONS (forensic command): --case-id, -c Case number / reference --examiner, -e Examiner name --export, -x Auto-export .txt report ``` ## 🗂️ 支持的文件类型
按类别组织的 130+ 种文件签名(点击展开) | 类别 | 格式 | |------|------| | **图像** | JPEG, PNG, GIF, BMP, TIFF, WebP, HEIF, AVIF, ICO, PSD, SVG, JXL, CR2, CR3, NEF, ARW, DNG, ORF | | **视频** | MP4, AVI, MKV, MOV, FLV, WebM, WMV, 3GP, MPEG-TS, VOB | | **音频** | MP3, WAV, FLAC, OGG, AAC, WMA, MIDI, AIFF, APE, Opus, M4A | | **文档** | PDF, DOCX, XLSX, PPTX, ODT, ODS, ODP, RTF, EPUB | | **归档** | ZIP, RAR, 7Z, GZIP, TAR, BZ2, XZ, ZSTD, LZ4 | | **可执行文件** | EXE/DLL (PE), ELF, Mach-O, DEX, .class, WASM | | **数据库** | SQLite, Access (MDB), Outlook (PST) | | **磁盘镜像** | ISO 9660, VMDK, VDI, QCOW2, VHD | | **字体** | TTF, OTF, WOFF, WOFF2 | | **3D/CAD** | STL (binary), glTF (GLB), Blender (.blend) | | **加密** | Bitcoin Wallet (wallet.dat) | | **移动端** | APK, IPA, KWGT, KLWP, MTZ | | **网络** | PCAP, PCAP-NG | | **播放列表** | M3U, M3U8, PLS, ASX | | **杂项** | LNK, Torrent, Protobuf, FlatBuffers |
## 🧪 自检 该工具包含一个内置自检功能,可验证所有 130 种文件签名: ``` Hex_Dumper --test-all ``` ``` Running Self-Test Sequence... Test Results: 130 Passed, 0 Failed. All systems operational. ``` ## 🏗️ 项目结构 ``` HEX_Dumper/ ├── Program.cs # Main program, CLI parser, menu, 130+ signatures ├── MetadataExtractor.cs # 12 forensic analysis modules + report export ├── Hex_Dumper.csproj # .NET 8.0 project configuration ├── Hex_Dumper.sln # Solution file ├── LICENSE # MIT License └── README.md # This file ``` ## 📝 报告导出 取证报告以纯文本 `.txt` 文件形式导出,结构如下: ``` ================================================================================ SENTINEL DATA SOLUTIONS — FORENSIC FILE ANALYSIS REPORT ================================================================================ Report Generated : 2026-02-10 18:13:19 UTC Tool Version : Hex Dumper v2.0-FORENSIC Case ID : CASE-2026-001 Examiner : Perito Silva Machine : WORKSTATION-01 OS : Microsoft Windows 10.0.22631 Target File : C:\evidence\suspect_file.pdf ================================================================================ DISCLAIMER: This report was generated by an automated forensic analysis tool. The information contained herein should be verified by a qualified examiner. Chain of custody must be maintained for evidentiary purposes. -------------------------------------------------------------------------------- [MODULE 1] FILE SYSTEM INFO ... [MODULE 12] BYTE FREQUENCY ANALYSIS ... ================================================================================ END OF FORENSIC REPORT ================================================================================ ``` ## ⚠️ 免责声明 本工具**仅用于教育和教学目的**。旨在在课堂、实验室和 CTF 挑战等受控环境中使用。作者不对本软件的任何误用负责。 ## 📄 许可证 本项目基于 **MIT License** 授权 —— 详情请参阅 [LICENSE](LICENSE) 文件。 ``` Copyright (c) 2026 Antônio Malheiros ```
**由 [Zeca](https://github.com/YOUR_USERNAME) 用 ❤️ 构建** *SENTINEL DATA SOLUTIONS • 取证分析工具*
标签:Court-Ready Reports, EXIF, HTTP工具, .NET 8.0, NTFS数据流, 元数据提取, 反取证检测, 命令行实用程序, 哈希计算, 域渗透, 库, 应急响应, 数字取证, 数字鉴识, 数据隐藏检测, 文件分析, 文件签名识别, 文件类型识别, 文档结构分析, 熵分析, 电子数据取证, 网络安全审计, 自动化脚本, 进程保护, 魔术字节