redzeptech/Dijital-iz-Driver-TR

# 数字痕迹追踪器 (DİZ)

基于 Python 的 DFIR 框架 — 将磁盘、内存、网络、云和移动端证据统一整合到 单一 SuperTimeline 和 专业 HTML/PDF 报告 中。

## 安装 要在本地运行，请依次执行以下步骤： 1. **克隆仓库** git clone https://github.com/redzeptech/Dijital-iz-Driver-TR cd Dijital-iz-Driver-TR 2. **安装 Python 包** pip install -r requirements.txt 3. **环境与规则** — 准备工具和 Sigma 规则。 python setup_env.py 4. **Dashboard** — 启动 Streamlit 界面。 streamlit run ui/app.py ## 示例报告 本节总结了由 **`main.py --report`** 和可选 **`--pdf`** 生成的 **Storyline** (HTML/PDF) 输出的阅读布局以及一个示例 **攻击情节**。目的：将本地 **诉讼 / KVKK**（土耳其个人数据保护法）纪律与 **全球** 威胁建模（例如 **MITRE ATT&CK**）在同一份报告中呈现。 ### 攻击场景（示例链） 下表按层级顺序展示了一个 *假设但典型的* **kill chain** 流程：通过 **移动端** 建立初步接触 → 在 **RAM** 中隐藏 → 在 **云** 端提权 → 通过 **网络** 窃取数据。在真实报告中，事件通过 `core/correlator.py` 进行关联；MITRE 技术标识符在记录文本的 **ATT&CK** 列中可见。 | 步骤 | 层级 | 攻击场景（摘要） | 报告 / 引擎对应项 | |------|--------|---------------------------|-------------------------| | **1** | **移动端** | 攻击者通过消息渠道引导受害者点击 **工作邀请** 或恶意附件（初次接触 / 社会工程学）。 | `mobile_findings.json` · 多源时间对齐 · Storyline **故事流** 行 | | **2** | **RAM** | 应用程序或脚本执行后，在 **内存** 中进行注入 / 出现可疑进程；独立于磁盘日志的隐藏行为。 | Volatility (**malfind**, **pslist**, **netscan**) · **磁盘+RAM 交叉验证** (PDF/HTML 表格中红色边框) | | **3** | **云** | 使用被盗或自动获取的凭证通过 **IAM / API** 获取权限或进行快照/导出操作。 | `cloud_findings.json` · **ATO (账户接管)** 关联 · CloudTrail 类摘要 | | **4** | **网络** | 通过企业出口或隧道通道产生 **密集出口流量**；目标通常是外部 C2 或存储服务。 | Zeek/PCAP → `network_analysis.json` · **三元关联 (数据泄露)** · 信标 / DNS 可疑行为 | ### 报告视觉结构（线框图） 下图描述了基于 **`templates/report.html`** 的输出从上到下的大致 **信息架构**（PDF 中章节顺序相同；Plotly 图表可能非静态）： ``` +------------------------------------------------------------------+ | KAPAK — Başlık ("Otomatik Olay Müdahale Analizi" / CLI ile) | | SHA-256 doğrulama özeti (ham kanıt manifest parmak izi) | | Meta: olay sayısı, Tam-Saha / Exfil / Disk+RAM sayaçları | +------------------------------------------------------------------+ | STORYLINE | | · AI analist girişi (detective_report / attack_scenario .md) | | · Hikaye akışı [HH:MM - Mobil|Disk|RAM|Ağ|Bulut] | | · Kill chain (Keşif → Sızma → Sızıntı) | | · Dikey olay örgüsü (ikonlu) | | · İlişki şeması (SVG — IP / dosya / bulut kimliği) | | · Adli özet — Analist notu (bölüm altı) | +------------------------------------------------------------------+ | MITRE ATT&CK ilerleme özeti → Analist notu | | Uzman görüşü (not defteri) → Analist notu | +------------------------------------------------------------------+ | KRİTİK BULGULAR — korelasyon kartları + kanıt matrisi | | Zaman hizalama metni → Analist notu | +------------------------------------------------------------------+ | Saldırı haritası (swimlane) → Analist notu | | İnteraktif zaman çizelgesi (Plotly) → Analist notu | +------------------------------------------------------------------+ | Birleşik olay tablosu (çakışma satırları kalın/kırmızı çerçeve) | | → Analist notu | +------------------------------------------------------------------+ | BÜTÜNLÜK MÜHRÜ — Kanıt doğrulama tablosu (JSON/CSV SHA-256) | +------------------------------------------------------------------+ | Rapor Doğrulama Özeti — HTML gövdesi SHA-256 (dijital imza) | +------------------------------------------------------------------+ ``` PDF 生成：`python main.py -i --pdf` → `data/results/diz_vaka_raporu_001.pdf` (HTML: `diz_vaka_raporu_001.html` 或 `--report` 路径)。有关详细的时间线和 **swimlane**（泳道图）说明，请参阅下文段落。 ### 大型报告：时间线与端点对齐 HTML 报告中（**`--report`**）有两个视觉层叠加：**`交互式攻击时间线`**，通过浏览器中的 **Plotly.js** 绘制；横轴为时间，纵轴为 **证据带**（Disk/EVTX, RAM, **Network**，关联器 **Mobile** / **Cloud** 集群标记）。**`攻击图（时间 – 来源层）`** 部分通过 **swimlane** 总结了相同的结构 —— 实际上将 **Arkime** 风格的“谁，何时，与谁通信？”的问题呈现在报告表层。

示例报告流程：封面 + 完整性摘要 → Storyline → MITRE → 关键关联 → swimlane / Plotly → KVKK 掩码表 → 证据哈希表 → 正文 SHA-256

设计语言（企业参考）

README 和报告模板（**`templates/report.html`**）在信息密度上参考 **Arkime** 和 **Timesketch** 生态系统；在语调、标题层级和证据展示上则追求 **Cellebrite** 风格的企业报告规范 —— 拒绝耸人听闻，追求可重复的摘要和可辩护的视图。

## 🚀 为什么选择数字痕迹追踪器 (DİZ)？ - **混合分析**：土耳其首个将磁盘、RAM 和网络数据通过单一 AI 支持引擎进行关联的开源框架。 - ☁️ & 📱 **混合数字取证**：土耳其唯一能够同时处理云 (AWS/Azure) 和移动 (Android/iOS) 数据，并与磁盘、RAM 和网络数据结合处理的本土平台。 - **取证标准**：Magnet AXIOM 和 EnCase 级别的报告质量，Plaso 级别的分析深度。 - **KVKK 友好**：本地技术自动屏蔽分析报告中的敏感数据 (DİZ-Mask)。 ## 🇹🇷 本土技术特性 | 特性 | 描述 | |---------|----------| | 🔍 **多层追踪** | 首个能够将磁盘、RAM 和网络数据同步合并的本土引擎。 | | ☁️📱 **云 + 移动全谱** | AWS/Azure 日志和 Android/iOS 备份；与磁盘、RAM 和网络在 **同一面板** 中（Streamlit DİZ-Map / 横向移动）。 | | 🎭 **智能掩码 (DİZ-Mask)** | 为符合 KVKK 要求，在分析过程中自动屏蔽敏感数据。 | | 📊 **专业报告** | Magnet AXIOM 级别的 PDF 和交互式 HTML 输出。 | | 🛠️ **开源集成** | 一键管理全球顶尖的 10 多种数字取证工具。 | ## 差异化优势 | 特性 | 描述 | |---------|----------| | **双引擎分析** | 融合 Hayabusa 的速度与 Chainsaw 锐利的 Sigma 规则。 | | **智能掩码** | 在分析过程中自动隐藏敏感数据 (PII)，提供符合 KVKK 标准的报告。*(参考：Magnet AXIOM 风格)* | | **可视化证据管理** | 将复杂的日志转化为 Timesketch 级别的 HTML 和 PDF 报告。 | | **混合检查** | Windows 日志 + Volatility (内存) + Zeek/Tshark (网络) —— 全部整合在单一 SuperTimeline 中。 | | **全谱覆盖** | 云 (AWS/Azure) + 移动 (Android/iOS SQLite) + 企业磁盘/RAM/网络 —— **集成在单一本土平台上**。 | ## 为什么我们称之为“对话”？ DİZ 通过 **单一命令** 结合两种不同的分析方法： | 工具 | 角色 | 作用 | |------|-----|-----------| | **Hayabusa** | 标准分析 | *"伙计，有人在 14:05 尝试使用 Admin 用户登录。"* | **Chainsaw** | 威胁狩猎 | *"我也看了，当时有个 Sigma 规则触发了 'Brute Force'（暴力破解）警报！"* | | **DİZ** | 关联 | *"你们都说对了，这是那一刻的完整报告！"* | 你只需提供一个 **文件夹路径**；DİZ 在后台运行这两个工具并将结果合并到 **单一时间线** 中。 ## 双轨分析 ``` EVTX Klasörü ──► Hayabusa (JSON) ──┐ "Standart analiz" │ ├──► DİZ ──► Birleşik Timeline EVTX Klasörü ──► Chainsaw (Sigma) ──┘ "Tehdit avcılığı" ``` - **Hayabusa**: 从 Windows Event Log 中检测异常、登录事件、可疑活动 - **Chainsaw**: 使用 Sigma 规则狩猎已知的攻击模式 - **关联**: 两个来源的数据被归一化为 `Timestamp`, `Level`, `RuleTitle`, `Details` 格式并在单一列表中呈现 ## 快速开始 ``` # Linux / macOS — 一键安装 (Sigma + Chainsaw mappings + pip) chmod +x diz_setup.sh && ./diz_setup.sh ``` ``` # 1. 安装 (手动) pip install -r requirements.txt python setup_env.py # 替代方案 — 作为包安装 (依赖项与 requirements.txt 对齐; 开发者: +dev) pip install -e ".[dev]" pytest # ruff check tests # 2. 放置 Binary 文件 (Hayabusa + Chainsaw) # 将 hayabusa.exe 和 chainsaw.exe 放入项目根目录 # 3. 分析 (+ Storyline HTML; 可选 PDF) python main.py --input C:/path/to/evtx_folder --report data/results/diz_report.html python main.py --input C:/path/to/evtx_folder --pdf # → data/results/diz_vaka_raporu_001.pdf ``` Windows 拖放便捷操作：从项目根目录运行 **`diz_run.bat`**（会询问文件夹路径，并在 `data\results\diz_report.html` 生成报告）。 ## 使用方法 ### 主 Pipeline (EVTX 分析) ``` python main.py --input data/raw # 或 python main.py -i C:/Windows/System32/winevt/Logs ``` 输出：按 **Timestamp** 排序的 Hayabusa + Chainsaw 合并表格。 ### 完整 Pipeline (磁盘 + 内存 + 网络) ``` python main.py -i data/evtx/ -m memory.raw -p capture.pcap -r rapor.html ``` 单命令分析 EVTX、内存镜像和 PCAP —— 通过三重关联检测数据泄露。 ### 高级用法 ``` # Python API from core.engine import DFIREngine engine = DFIREngine() engine.run_module("hayabusa", evidence_path="data/raw") engine.run_module("ai_analyst", evidence_path="data/supertimeline") ``` ``` # Streamlit Web 界面 streamlit run ui/streamlit_app.py # 专业 Dashboard (Plotly + 威胁地图) streamlit run ui/dashboard.py ``` ## 文件夹结构 ``` Dijital-iz-Driver-TR/ ├── core/ # Motor ve yardımcılar │ ├── engine.py │ ├── module_manager.py │ └── utils.py # normalize_event, birleştirme ├── modules/ │ ├── hayabusa_module.py # Standart analiz │ ├── chainsaw_wrapper.py # Sigma tehdit avcılığı │ ├── cloud_wrapper.py # AWS/Azure + hibrit IP │ ├── mobile_wrapper.py # Mobil SQLite / WhatsApp / GPS / carving │ ├── ai_analyst.py # AI raporlama │ └── ... ├── config.py # Merkezi yapılandırma ├── setup_env.py # Ortam kurulumu ├── main.py # Orkestra başlatıcı └── data/results/ # Birleşik çıktılar ``` ## 系统要求 | 组件 | 描述 | |---------|----------| | **Hayabusa** | [GitHub](https://github.com/Yamato-Security/hayabusa) | | **Chainsaw** | [GitHub](https://github.com/WithSecureLabs/chainsaw) | | **Volatility 3** | 内存分析（可选） | | **Zeek / Tshark** | 网络分析（可选） | | **Sigma Rules** | 通过 `setup_env.py` 自动下载 | | **Python 3.10+** | `pip install -r requirements.txt` | ## 功能特性 - **双轨分析**: 单命令运行 Hayabusa + Chainsaw - **三重关联**: 磁盘 + 内存 + 网络 → 数据泄露检测（土耳其网络安全标准） - **SuperTimeline**: EVTX, Volatility netscan/pslist, Zeek conn —— 统一时间线 - **DİZ-Mask**: KVKK 兼容自动掩码（电子邮件、IP、用户名） - **Streamlit Dashboard**: Plotly 攻击时间线 + 威胁地图 - ☁️📱 **云 & 移动端**: `cloud_wrapper` (CloudTrail/Azure + 混合 IP) + `mobile_wrapper` (WhatsApp, 通话, GPS, SQLite carving) —— **与磁盘/RAM/网络结合**，统一仪表板 - **AI Analyst**: 通过 OpenAI/Ollama 生成可疑活动摘要 ## 许可证 **Copyright © 2026 Recep Şenel — RedzepTech.** **This project is licensed under the Apache License 2.0.** See the [`LICENSE`](LICENSE) file in the repository root for the full license text. 选择清晰、透明且被业界广泛接受的 **Apache License 2.0**；确保了企业安全和采购流程中经常要求的 **专利保护** 和 **再利用条款** 被明确写入。这也增强了项目的 **专业和企业形象**：利益相关者（供应商、客户、开源社区）可以通过单一标准文档快速验证法律框架。

标签：AI, AI风险缓解, Cloudflare, ESC4, HTML报告, HTTP工具, Kubernetes, KVKK, MITRE ATT&CK, OSINT, PDF生成, Plotly, Python, SecList, Sigma规则, Storyline, Streamlit, 人工智能, 全光谱分析, 内存取证, 库, 应急响应, 数字取证, 数据脱敏, 数据隐私, 无后门, 用户模式Hook绕过, 目标导入, 磁盘取证, 移动取证, 网络安全, 网络安全, 网络安全审计, 自动化代码审查, 自动化报告, 自动化脚本, 访问控制, 证书服务, 调查框架, 超级时间线, 逆向工具, 隐私保护, 隐私保护