hondacivicc/winforeproject

# ANALYZER - 数字取证框架 一个基于 Bash 的综合数字取证分析工具，将多种行业标准取证实用程序集成到单一的自动化框架中。 ## 功能特性 ### 🔍 **综合分析** - **多工具集成**：无缝结合 7+ 种取证工具 - **内存转储分析**：基于 Volatility 的 Windows 内存分析 - **文件雕刻**：使用 Foremost 自动提取文件 - **隐写术检测**：集成 StegSeek 并支持自定义字典 - **可执行文件提取**：自动从嵌入文件中提取 PE 二进制文件 - **字符串分析**：针对密码、URL、IP 的高级模式匹配 - **密码破解**：由 Hashcat 驱动的 NTLM 哈希破解 ### 🎯 **智能输出管理** - **按需创建目录**：仅在工具发现内容时创建输出文件夹 - **有序结构**：清晰、分层的结果组织 - **可读性提取**：自动分类发现的内容 - **综合报告**：包含统计数据的详细分析摘要 - **归档创建**：带有时间戳的 ZIP 结果打包 ### ⚡ **性能与易用性** - **多文件支持**：支持通配符分析多个文件 (`./files/*`) - **自定义字典**：为不同工具提供灵活的字典配置 - **进度指示**：清晰的终端输出显示分析进度 - **快速执行**：优化的工具链和并行处理 ## 安装说明 ### 前置条件 ``` # 核心取证工具 sudo apt install foremost bulk-extractor hashcat binwalk # 安装 Volatility 3 pip3 install volatility3 # 安装 StegSeek # 下载地址：https://github.com/RickdeJager/StegSeek # 下载 Volatility Windows symbols mkdir -p ~/.volatility3/symbols # 将 Windows symbol 文件放置在此目录中 ``` ### 克隆仓库 ``` git clone https://github.com/YOUR_USERNAME/winforeproject.git cd winforeproject chmod +x project.sh ``` ## 使用方法 ### 基本分析 ``` # 分析单个文件 ./project.sh -f suspicious_file.img # 分析多个文件 ./project.sh -f file1.img file2.mem file3.jpg # 分析目录中的所有文件 ./project.sh -f ./files/* # 指定输出目录 ./project.sh -f file.img -o /path/to/output ``` ### 高级选项 ``` # 启用自动 human-readable 提取 ./project.sh -f file.img -e # 使用自定义 wordlists ./project.sh -f file.img --wordlist /path/to/wordlist.txt # 为不同工具使用单独的 wordlists ./project.sh -f file.img --stegwordlist steg.txt --hashcatwordlist passwords.txt # 多个 wordlists ./project.sh -f file.img --wordlist list1.txt --wordlist list2.txt ``` ## 集成工具 | 工具 | 用途 | 输出 | |------|---------|---------| | **Volatility 3** | 内存转储分析 | 进程列表、注册表、哈希转储 | | **Binwalk** | 固件/文件分析 | 嵌入文件检测 | | **Foremost** | 文件雕刻 | 根据签名提取文件 | | **Bulk Extractor** | 数据挖掘 | URL、电子邮件、信用卡 | | **StegSeek** | 隐写术检测 | 隐藏数据提取 | | **Hashcat** | 密码破解 | 已破解的 NTLM 哈希 | | **Strings** | 文本提取 | 人类可读字符串 | ## 输出结构 ``` output_TIMESTAMP/ ├── filename_analysis/ │ ├── binwalk_output.txt # File signature analysis │ ├── foremost_output/ # Carved files (if found) │ ├── bulk_extractor_output/ # Data mining results │ ├── stegseek_output/ # Steganography analysis │ ├── volatility_output/ # Memory analysis (if applicable) │ └── HumanReadableExtraction/ # Organized findings │ ├── passwords/ # Found passwords │ ├── usernames/ # Extracted usernames │ ├── executables/ # PE binaries │ └── urls/ # Web addresses ├── forensic_analysis_report.txt # Comprehensive report └── forensic_analysis_TIMESTAMP.zip # Complete archive ``` ## 结果示例 最近对一个 35MB 镜像文件的分析： - **分析时间**：9 秒 - **雕刻文件数**：55 个文件 - **提取字符串**：445,043 条 - **发现的可执行文件**：1 个 Windows PE 二进制文件 (17.7MB) - **恢复的密码**：14 个 - **总输出大小**：多个组织有序的目录 ## 内存分析能力 在分析 Windows 内存转储时： - **进程分析**：正在运行的进程和进程树 - **注册表提取**：Windows 注册表配置单元和键值 - **密码提取**：来自 SAM 的 NTLM 哈希 - **用户枚举**：本地用户账户 - **哈希破解**：自动密码恢复 ## 隐写术检测 - **多字典支持**：测试多个密码列表 - **自动提取**：隐藏数据恢复 - **日志管理**：组织有序的尝试日志记录 - **格式支持**：JPEG、PNG 及其他格式 ## 许可证 MIT 许可证 - 详情请参阅 LICENSE 文件 ## 安全声明 本工具专为以下用途设计： - **授权渗透测试** - **数字取证调查** - **CTF 竞赛** - **安全研究** - **教育目的** 在分析任何系统或文件之前，请务必确保已获得适当授权。 **注意**：本框架需要外部取证工具。使用前请确保所有依赖项已正确安装和配置。

标签：Binwalk, Bitdefender, CTF取证, DNS 反向解析, DOS头擦除, Foremost, Hashcat, JARM, Linux工具, PE 加载器, PE文件提取, StegSeek, 内存分析, 域渗透, 字符串分析, 安全分析框架, 密码破解, 库, 应急响应, 应用安全, 数字取证, 文件雕刻, 电子数据取证, 端口探测, 网络安全, 自动化取证, 自动化脚本, 隐写术检测, 隐私保护, 集成工具