ejgi/zen_hunt
GitHub: ejgi/zen_hunt
一款用 Rust 编写的高性能取证扫描器,专为海量数据集的快速分类和深度模式匹配而设计,原生支持 PCAP、EVTX 和内存转储等取证格式。
Stars: 0 | Forks: 0
# 🕵️♂️ Zen-Hunt:取证专家 (BETA)
**Zen-Hunt** 是一款高性能、极简主义的取证扫描器,专为海量数据集的快速分类和深度模式搜索而设计。
## 🚀 核心能力
- **Legacy-Shield™:** 针对机械硬盘 定制的核心逻辑,确保在其他工具可能失效的环境下实现 100% 的稳定性。🛡️
- **Turbo-Throughput:** 在现代 SSD/NVMe 系统上自动扩展以实现极速吞吐。🚅
- **Deep-Scan 架构:** 以取证级的精度和零回退可靠性搜索原始二进制数据。💎
- **原生取证支持:** 内置对 **PCAP**、**EVTX** 和大型系统日志的发现与扫描功能。📂
## 📂 支持的格式
Zen-Hunt 针对取证和大规模数据分类进行了优化:
- **网络与事件:** 原生支持 **PCAP** (网络流量) 和 **EVTX** (Windows 事件)。
- **二进制工件:** 深度扫描 `.bin`、`.dat`、`.img` 和原始磁盘转储。
- **日志与表格:** 极速处理 `.log`、`.txt`、`.csv`、`.json` 和 `.xml`。
- **通用模式:** 当作为明确目标传入时,支持**任何扩展名**的单个文件!🌏💎
## 🛠️ 用法
### 🔍 指标扫描器
跨目录的快速多模式扫描:
```
./zen_hunt scan --path "/mnt/evidence" --ioc-file "./iocs.txt"
```
### 🎯 模式搜索
针对特定字符串的直接比特流搜索:
```
./zen_hunt hunt --path "/mnt/logs" --query "search_string"
```
### 🚀 性能基准测试
验证您自己硬件的扫描极限:
```
./zen_hunt bench --path "./large_file.bin" --hardware ssd
```
### 🧪 实验性 NVMe 引擎
在单个文件上测试异步双缓冲预取逻辑:
```
./zen_hunt hybrid --path "./giant_memory_dump.bin" --query "malicious.pdb"
```
## 🚀 真实世界性能 (Beta 基准测试)
这些结果记录于开发硬件(旧版 **Intel Core i5 Ivy Bridge + 机械硬盘 HDD**):
- **4.2 GB 数据集 (多文件 PCAP):** **1.60 GB/s** (热缓存) - 耗时 **2.59s** ⚡
- **4.2 GB 数据集 (多文件 PCAP):** **~140 MB/s** (冷磁盘) - 稳定且顺序 🛡️
- **4.0 GB 多文件扫描:** 使用 12 个指标达到 **~300 MB/s** - 耗时 **14.39s** 🚅
## 🎯 你能搜索什么?(DFIR 用例)
Zen-Hunt 专为快速事件响应和大规模数据雕刻而构建:
1. **恶意软件互斥体 & PDB 路径 (`.bin` / 内存转储):** 在几秒钟内在 64 GB RAM 转储中找到编译路径(例如 `C:\Users\hacker\Desktop\ransomware.pdb`)或已知的恶意软件签名。
2. **Web Shell & 漏洞利用 (`.log` / 大型归档):** 通过搜索 `${jndi:ldap://` (Log4j) 或 PHP 后门如 `eval(base64_decode(`,在数年的 Nginx/Apache 日志中追踪攻击企图。
3. **数据泄露 & 凭证 (`.pcap` / 网络流量):** 在千兆字节的网络流量中搜索明文密码或泄露的 AWS 认证令牌 (`AKIAIOSFODNN7EXAMPLE`)。
4. **加密货币数据雕刻 (原始磁盘镜像):** 通过逐位读取原始硬盘或 USB 扇区,直接搜索比特币地址或丢失的 `wallet.dat` 签名痕迹。
5. **暴力破解 & 横向移动 (`.evtx` / Windows 事件):** 扫描数百万条 Windows 事件,查找尝试 RDP 登录的已知恶意 IP (IoCs)。
## 📦 兼容性
支持现代 Linux 发行版 (CentOS 8+, Ubuntu 20.04+, Debian 11+, Arch, Fedora)。
## ⚖️ 许可证
Zen-Hunt 是一款由 **Zen Engine Core** 驱动的专业工具。为稳定性而构建,为影响力而优化。🕵️♂️⚖️🛡️🚀
标签:AMSI绕过, EVTX解析, HTTP/HTTPS抓包, HTTP工具, IOC扫描, NVMe优化, PCAP分析, Rust, SIMD, Triage, Windows事件日志, 二进制分析, 云安全运维, 位流扫描, 内存转储分析, 取证工具, 可视化界面, 威胁检测, 子域名变形, 安全扫描, 库, 应急响应, 异步IO, 态势感知, 恶意代码搜寻, 数字取证, 数据分类, 时序注入, 模式匹配, 端点安全, 网络安全, 网络安全审计, 网络流量审计, 自动化脚本, 自动化资产收集, 补丁管理, 裸机扫描, 隐私保护, 高性能计算, 默认DNS解析器