r3nzsec/irflow-timeline
GitHub: r3nzsec/irflow-timeline
一款专为 macOS 设计的 DFIR 时间线分析工具,支持多种取证文件格式并内置横向移动追踪和持久化检测功能。
Stars: 156 | Forks: 21
# IRFlow 时间轴
https://github.com/user-attachments/assets/d0a94f52-8b2a-4735-bd01-c55e2459f7b4
一款用于 DFIR 时间线分析的高性能原生 macOS 应用程序。基于 Electron + SQLite 构建,能够轻松处理用于取证时间线的大型文件(CSV、TSV、XLSX、EVTX、Plaso),毫无压力。
灵感来源于 Eric Zimmerman 为 Windows 开发的 Timeline Explorer。
如需了解功能、入门指南和文档,请访问 **[IRFlow Timeline 文档](https://r3nzsec.github.io/irflow-timeline/)**。
## 从源代码构建
**前置条件(仅限开发者):**
- Node.js 18+:`brew install node`
- Xcode 命令行工具:`xcode-select --install`(用于编译原生模块)
- macOS 11+(Big Sur 或更高版本)
```
git clone https://github.com/r3nzsec/irflow-timeline.git
cd irflow-timeline
npm install
npx electron-rebuild -f -w better-sqlite3
# Development (hot-reload)
npm run dev
# Build + launch
npm run start
# 打包为通用 DMG
npm run dist:universal
```
输出位于 `release/`。
## 致谢与鸣谢
灵感来源于 [Eric Zimmerman 的 Timeline Explorer](https://ericzimmerman.github.io/)。
### 开源项目
| 项目 | 用途 | 链接 |
|---------|-------|------|
| **Electron** | 应用程序框架 | [electron/electron](https://github.com/electron/electron) |
| **better-sqlite3** | 支持 WAL 模式和 FTS5 的高性能 SQLite 引擎 | [WiseLibs/better-sqlite3](https://github.com/WiseLibs/better-sqlite3) |
| **@ts-evtx/core** | 原生 Windows EVTX 事件日志解析 | [NickSmet/ts-evtx](https://github.com/NickSmet/ts-evtx) |
| **Plaso (log2timeline)** | 取证时间线生成(我们导入 Plaso SQLite 输出) | [log2timeline/plaso](https://github.com/log2timeline/plaso) |
| **ExcelJS** | XLSX 流式读取器 | [exceljs/exceljs](https://github.com/exceljs/exceljs) |
| **SheetJS (xlsx)** | XLSX 解析 | [SheetJS/sheetjs](https://github.com/SheetJS/sheetjs) |
| **csv-parser** | CSV/TSV 流式解析器 | [mafintosh/csv-parser](https://github.com/mafintosh/csv-parser) |
| **React** | UI 渲染 | [facebook/react](https://github.com/facebook/react) |
| **Vite** | 构建工具和热重载 | [vitejs/vite](https://github.com/vitejs/vite) |
| **VitePress** | 文档网站 | [vuejs/vitepress](https://github.com/vuejs/vitepress) |
| **electron-builder** | macOS DMG 打包 | [electron-userland/electron-builder](https://github.com/electron-userland/electron-builder) |
### DFIR 社区
- [Eric Zimmerman](https://ericzimmerman.github.io/) -- Windows 版 Timeline Explorer 的作者,本项目最初的灵感来源
- [log2timeline/Plaso](https://github.com/log2timeline/plaso) -- 由 Kristinn Gudjonsson 和贡献者开发的超级时间线生成框架
- [SANS DFIR](https://www.sans.org/digital-forensics-incident-response/) -- DFIR 培训和社区资源
- [The DFIR Report](https://thedfirreport.com/) -- 为威胁检测模式提供参考的真实入侵分析报告
### Beta 测试人员
感谢以下人员的测试和反馈:
- [Maddy Keller](https://www.linkedin.com/in/madeleinekeller98/)
- [Omar Jbari](https://www.linkedin.com/in/jbariomar/)
- [Nicolas Bareil](https://www.linkedin.com/in/nbareil/)
- [Dominic Rathmann](https://www.linkedin.com/in/dominic-rathmann-77664323b/)
- [Chip Riley](https://www.linkedin.com/in/criley4640/)
## 许可证
Apache-2.0
https://github.com/user-attachments/assets/d0a94f52-8b2a-4735-bd01-c55e2459f7b4
一款用于 DFIR 时间线分析的高性能原生 macOS 应用程序。基于 Electron + SQLite 构建,能够轻松处理用于取证时间线的大型文件(CSV、TSV、XLSX、EVTX、Plaso),毫无压力。
灵感来源于 Eric Zimmerman 为 Windows 开发的 Timeline Explorer。
如需了解功能、入门指南和文档,请访问 **[IRFlow Timeline 文档](https://r3nzsec.github.io/irflow-timeline/)**。
## 从源代码构建
**前置条件(仅限开发者):**
- Node.js 18+:`brew install node`
- Xcode 命令行工具:`xcode-select --install`(用于编译原生模块)
- macOS 11+(Big Sur 或更高版本)
```
git clone https://github.com/r3nzsec/irflow-timeline.git
cd irflow-timeline
npm install
npx electron-rebuild -f -w better-sqlite3
# Development (hot-reload)
npm run dev
# Build + launch
npm run start
# 打包为通用 DMG
npm run dist:universal
```
输出位于 `release/`。
## 致谢与鸣谢
灵感来源于 [Eric Zimmerman 的 Timeline Explorer](https://ericzimmerman.github.io/)。
### 开源项目
| 项目 | 用途 | 链接 |
|---------|-------|------|
| **Electron** | 应用程序框架 | [electron/electron](https://github.com/electron/electron) |
| **better-sqlite3** | 支持 WAL 模式和 FTS5 的高性能 SQLite 引擎 | [WiseLibs/better-sqlite3](https://github.com/WiseLibs/better-sqlite3) |
| **@ts-evtx/core** | 原生 Windows EVTX 事件日志解析 | [NickSmet/ts-evtx](https://github.com/NickSmet/ts-evtx) |
| **Plaso (log2timeline)** | 取证时间线生成(我们导入 Plaso SQLite 输出) | [log2timeline/plaso](https://github.com/log2timeline/plaso) |
| **ExcelJS** | XLSX 流式读取器 | [exceljs/exceljs](https://github.com/exceljs/exceljs) |
| **SheetJS (xlsx)** | XLSX 解析 | [SheetJS/sheetjs](https://github.com/SheetJS/sheetjs) |
| **csv-parser** | CSV/TSV 流式解析器 | [mafintosh/csv-parser](https://github.com/mafintosh/csv-parser) |
| **React** | UI 渲染 | [facebook/react](https://github.com/facebook/react) |
| **Vite** | 构建工具和热重载 | [vitejs/vite](https://github.com/vitejs/vite) |
| **VitePress** | 文档网站 | [vuejs/vitepress](https://github.com/vuejs/vitepress) |
| **electron-builder** | macOS DMG 打包 | [electron-userland/electron-builder](https://github.com/electron-userland/electron-builder) |
### DFIR 社区
- [Eric Zimmerman](https://ericzimmerman.github.io/) -- Windows 版 Timeline Explorer 的作者,本项目最初的灵感来源
- [log2timeline/Plaso](https://github.com/log2timeline/plaso) -- 由 Kristinn Gudjonsson 和贡献者开发的超级时间线生成框架
- [SANS DFIR](https://www.sans.org/digital-forensics-incident-response/) -- DFIR 培训和社区资源
- [The DFIR Report](https://thedfirreport.com/) -- 为威胁检测模式提供参考的真实入侵分析报告
### Beta 测试人员
感谢以下人员的测试和反馈:
- [Maddy Keller](https://www.linkedin.com/in/madeleinekeller98/)
- [Omar Jbari](https://www.linkedin.com/in/jbariomar/)
- [Nicolas Bareil](https://www.linkedin.com/in/nbareil/)
- [Dominic Rathmann](https://www.linkedin.com/in/dominic-rathmann-77664323b/)
- [Chip Riley](https://www.linkedin.com/in/criley4640/)
## 许可证
Apache-2.0标签:Active Directory, CSV, DNS 解析, Electron, EVTX分析, incident response, macOS取证, MITM代理, PE 加载器, Plaso, SQLite, Timeline Analysis, TSV, XLSX, 取证调查, 子域名变形, 安全运营, 库, 应急响应, 开源安全工具, 扫描框架, 持久化检测, 数字取证, 无线安全, 日志解析, 横向移动, 编程规范, 网络安全审计, 自动化脚本, 证书伪造, 进程检查, 逆向工程平台