Rady0-0/TorTraceAnalyzer

# 🕵️‍♂️ TorTraceAnalyzer ### 用于 Tor 活动检测的自动化多层取证套件 **TorTraceAnalyzer** 是一个模块化取证引擎，旨在识别、关联并报告目标系统上的 Tor Browser 活动。与基础扫描器不同，该套件通过交叉引用内存、文件系统和网络日志中的工件来执行**行为分析**，以检测**异常 Tor 活动** ## 🚀 核心功能 * **4 层取证引擎：** 跨越内存、系统、网络和应用层的深入分析。 * **关联分析：** 自动识别高风险模式（例如，文件压缩与 Tor 网络活动同时发生）。 * **取证置信度指数 (FCI)：** 对可疑活动的加权数学判定。 * **动态时间线重建：** 利用直接从证据报告中提取的内部元数据时间戳重建调查时间线。 * **通用报告导入：** 兼容行业标准工具的输出，包括 **Autopsy, Volatility, FTK Imager, 和 Wireshark**。 * **现代化调查 HUD：** 专为取证环境中的高对比度可见性而构建的响应式、玻璃态仪表板。 ## 📦 独立可执行文件 (Windows) 对于需要便携式、零安装解决方案的取证调查人员，我们提供了独立可执行文件。此版本将所有依赖项和引擎打包到一个文件中。 1. 导航至 **[Releases](https://github.com/Rady0-0/TorTraceAnalyzer/releases)** 标签页。 2. 下载最新的 `TorTraceAnalyzer_v2.exe`。 3. 启动应用程序。无需安装 Python 或进行环境设置。 ## 📊 取证方法 该套件在四个关键调查层中搜寻“确凿证据”工件： 1. **内存层：** 识别易失性痕迹，包括核心 Tor 进程 (`tor.exe`)、父浏览器和网桥代理 (`obfs4proxy`)。 2. **系统层：** 从 **Windows Prefetch**、**UserAssist** 中提取执行历史，并通过 **可移动媒体 (USB)** 日志识别传递方法。 3. **网络层：** 检测标准 SOCKS 代理端口 (9050/9150) 和通用 **VPN/隧道接口** (TAP/TUN 适配器)。 4. **应用层：** 解析特定浏览器的配置文件 (`settings.json`) 和历史数据库 (`places.sqlite`)。 ## 📈 FCI 评分系统 为了协助调查人员，该工具计算 **取证置信度指数 (FCI)**。该分数是所有四个层检测结果的加权平均值，提供明确的调查判定： $$FCI = \left( \frac{\sum (Weight_i \times Detected_i)}{\sum Weight_i} \right) \times 100$$ * **0-30%：** 活动情况不明确 * **31-70%：** 可能使用了 Tor * **71-100%：** 存在 Tor 活动的确凿证据 ## 🛠️ 安装说明 1. **克隆仓库：** git clone [https://github.com/Rady0-0/TorTraceAnalyzer.git](https://github.com/Rady0-0/TorTraceAnalyzer.git) cd TorTraceAnalyzer 2. **安装依赖：** pip install -r requirements.txt 3. **启动套件：** python gui.py ## 📸 仪表板预览  *版本 2.0，具有高科技浮动面板和多层工件高亮显示功能。* ## 📂 项目结构 * `main.py`: 中央取证引擎和关联逻辑。 * `gui.py`: 用于证据导入的现代 HUD 界面。 * `artifact_correlation.py`: 行为分析“大脑”。 * `file_parser.py`: 通用证据导入模块。 * `report_generator.py`: 自动化证据文档生成。 ## ⚖️ 免责声明 *本工具是数字取证理学学士 (BSc) 主要项目的一部分开发而成。仅供教育和授权调查使用。开发者不对未经授权的分析或本软件的滥用承担任何责任。*

标签：AMSI绕过, Autopsy, FTK Imager, HTTPS请求, IP 地址批量处理, Python, SecList, Tor浏览器检测, Windows取证, Wireshark, 内存取证, 内部威胁, 句柄查看, 威胁检测, 安全可视化, 审计追踪, 异常检测, 数字取证, 数据渗漏, 无后门, 时间线重构, 电子取证工具, 磁盘取证, 网络安全, 自动化脚本, 逆向工具, 隐私保护, 隐私浏览器