cmitchellm4/disk-forensics-toolkit

# 🔍 磁盘取证工具包 一个双模块取证工具包，用于分析磁盘上的文件 —— 通过魔数检测伪装的可执行文件，并显示已删除或可疑文件留下的元数据痕迹。 ## 模块 ### 模块 1：文件签名分析器 每种文件类型都有一个“魔数” —— 隐藏在文件最开头的一串字节，它揭示了文件的真实格式，无论文件名显示什么。 **它能检测什么：** - 扩展名不匹配的文件（例如一个实际上是 `.exe` 的 `.jpg` 文件） - 危险的可执行文件（Windows PE, Linux ELF, macOS Mach-O） - 可疑的文件类型（归档文件、脚本、证书、数据库） - 用于人工检查的原始十六进制魔数 **实际用途：** 恶意软件通常通过将 `.exe` 文件重命名为 `.pdf` 或 `.jpg` 来伪装。此工具可以捕捉到这种情况。 ### 模块 2：已删除文件追踪器 删除的文件并非真正消失 —— 它们会留下元数据痕迹。此模块扫描目录并标记： - **零字节文件** —— 通常在删除后作为占位符留下 - **临时 / 部分文件** —— `.tmp`, `.bak`, `.swp`, `.part`, `.crdownload` - **隐藏文件** —— 可能隐藏活动踪迹的点文件 - **可执行 / 脚本文件** —— `.exe`, `.dll`, `.sh`, `.ps1`, `.bat` **实际用途：** 取证调查员扫描目录中的这些痕迹，以重建系统上存在过哪些文件。 ## 用法 ### Web 界面 在任意浏览器中打开 `index.html`。直接拖放文件 —— 所有操作均在本地运行，不上传任何内容。 ### Python CLI **安装依赖项（追踪器除标准库外无需其他依赖；此处不需要 Pillow）：** ``` # 无需额外依赖！ python disk_forensics.py ``` **运行：** ``` python disk_forensics.py ``` 选择： - `[1]` 文件签名分析器 —— 分析单个文件或目录 - `[2]` 已删除文件追踪器 —— 扫描目录以查找痕迹 - `[3]` 两者都运行 —— 完整的联合扫描 **示例输出（签名分析器）：** ``` FILE SIGNATURE ANALYSIS ────────────────────────────────────────────────────────────────────── Files scanned : 12 Mismatches : 1 Executables : 2 ────────────────────────────────────────────────────────────────────── invoice.jpg ⚠ MISMATCH — extension does not match content Extension .jpg True type EXE/DLL Magic bytes 4D5A9000 setup.exe 🔴 DANGEROUS — executable content detected ``` ## ⚠️ 免责声明 此工具仅供**教育和授权使用**。仅分析您拥有或获得明确许可检查的文件和目录。请勿在未经授权的情况下使用此工具调查系统。 ## 我的 OSINT 与取证工具包的一部分 - [用户名追踪器](../osint-username-tracker) —— 在 15+ 个平台上搜索用户名 - [EXIF 元数据提取器](../exif-metadata-extractor) —— 提取隐藏的图像元数据和 GPS - **磁盘取证工具包** ← 您在这里 ## 我学到了什么 - 文件魔数（文件签名）如何在二进制级别工作 - 十六进制编辑器和取证工具如何识别真实的文件类型 - 已删除文件如何在磁盘上留下元数据痕迹 - 使用 `struct` 和原始字节比较进行 Python 二进制文件 I/O ## 路线图 - [ ] 添加更多魔数签名（200+ 种文件类型） - [ ] 导出完整的 HTML 报告 - [ ] 哈希文件 (MD5/SHA256) 以进行完整性检查 - [ ] 比较两个目录快照以检测更改 - [ ] 集成 VirusTotal API 以进行已知恶意软件查询 ## 许可证 MIT License

标签：DAST, DNS 反向解析, DNS 解析, ELF文件分析, HTTP工具, PE文件分析, Python安全工具, 云安全监控, 元数据分析, 免费安全工具, 删除文件追踪, 前端安全工具, 后端开发, 后端开发, 多模态安全, 库, 应急响应, 恶意软件分析, 数字取证, 数据可视化, 文件伪装检测, 文件取证, 文件签名分析, 磁盘取证, 离线分析, 网络信息收集, 网络安全审计, 自动化脚本, 逆向工具, 隐写术检测, 静态分析, 魔法字节