noirlang/worm

## 概述 Worm 是一款用于授权调查的桌面取证工具。它将磁盘镜像、内存取证、Android 数据收集、哈希校验、案件输出管理、镜像查看和报告生成整合到一个原生应用程序中。 该应用程序在 Linux 和 Windows 上作为真实的桌面窗口运行。 ## 功能 - **本地磁盘取证：** 从本地磁盘或镜像文件创建原始磁盘镜像。 - **远程磁盘取证：** 通过 Linux 和 Windows agent 收集磁盘镜像。 - **本地内存取证：** 在 Linux 上使用 AVML，在 Windows 上使用 WinPMEM 捕获 RAM。 - **远程内存取证：** 启动、暂停、恢复、停止、追踪并从 agent 下载 RAM 转储文件。 - **Android 工具：** 检查 ADB、列出设备、收集逻辑数据、收集文件系统数据、捕获易失性数据并分析 Android 案件输出。 - **案件管理：** 将取证结果、笔记、哈希、Android 输出和报告存储在选定的案件中。 - **哈希与校验：** 计算 MD5、SHA1、SHA256 和 SHA512；为获取的证据生成附属哈希文件。 - **镜像查看：** 以只读方式挂载受支持的镜像以供检查。 - **报告：** 根据收集到的输出和笔记生成案件报告。 - **更新：** 检查 GitHub 发布版本并从应用程序内部下载平台安装包。 ## 下载 发布版本发布在 GitHub Releases 和官方网站上。 - Linux AppImage: `worm-linux-x64.AppImage` - Linux DEB: `worm-linux-x64.deb` - Linux RPM: `worm-linux-x64.rpm` - Windows MSI: `worm-windows-x64.msi` Agent 二进制文件： ``` https://worm.noirlang.tr/worm-linux https://worm.noirlang.tr/worm-win.exe ``` ## 构建要求 安装 Rust 稳定版工具链： ``` rustup toolchain install stable --component rustfmt rustup default stable ``` Linux 开发包： ``` sudo apt update sudo apt install -y build-essential pkg-config libgtk-3-dev libwebkit2gtk-4.1-dev ``` Windows 构建需要在目标系统上安装 Microsoft Edge WebView2 Runtime。 ## 构建 Debug 构建： ``` cargo build --locked ``` Release 构建： ``` cargo build --release --locked ``` 运行测试和检查： ``` cargo test --locked cargo fmt --all -- --check node --check ui/app.js ``` 构建 Linux AppImage： ``` ./scripts/build-appimage.sh ``` ## 运行 启动原生桌面应用程序： ``` cargo run -- ui ``` 运行 release 二进制文件： ``` ./target/release/worm ui ``` 打开基于浏览器的 Debug UI： ``` cargo run -- ui-browser ``` ## Agents 在目标机器上运行 Linux agent： ``` wget -O worm-linux https://worm.noirlang.tr/worm-linux chmod +x worm-linux ./worm-linux ``` 下载 Windows agent： ``` https://worm.noirlang.tr/worm-win.exe ``` 在应用程序中使用 IP 地址、端口和可选的 token 连接到 agent。

标签：Android取证, 内存获取, 可视化界面, 哈希校验, 域渗透, 数字取证, 数据可视化, 案件管理, 电子数据取证, 磁盘镜像, 自动化脚本, 通知系统