CIRCL/Drone-Forensic

# Drone-Forensic 该存储库旨在加速 DIY FPV 无人机的法医分析，并帮助自动化从被扣押或恢复的设备中提取技术报告。 其目标是务实：更快地提取有用证据、标准化输出，并生成可在报告或 MISP 等调查平台中重复使用或共享的数据。 相关阅读： - https://www.misp-project.org/2026/03/10/have-you-ever-thought-about-drones-in-misp.html/ ## 存储库概览 存储库分为三个主要分析领域： ### `fc/` 基于 STM32 的无人机控制器飞行控制器固件分析。 此部分帮助： - 使用 YARA 识别飞行控制器系列 - 识别目标板和芯片组 - 从原始转储中提取配置区域 - 解码恢复的配置值 当前工具主要聚焦于： - Betaflight - INAV - ArduPilot（部分支持） 可恢复的值通常包括： - 飞行器名称 - 飞行员姓名 - 保存的航点 - 某些采集流程中的 STM32 芯片序列信息 ### `blackbox/` 针对 Betaflight 和 INAV 飞行黑匣子的黑匣子日志提取与解码。 此部分帮助： - 检查原始转储中嵌入的黑匣子日志 - 提取用于飞行数据分析的 CSV 输出 - 将 GPS 轨迹导出为 CSV 和 GPX - 为报告计算哈希值和结构化元数据 自定义的 `bbox_decode.py` 解码器可提供： - 快速 `--info` 摘要 - 自动化用的 JSON 输出 - 每个日志的 CSV 输出 - 可用时基于 GPS 的上电和下电坐标 ### `elrs/` 面向 ExpressLRS 的工具，用于 UID 分析和从 ELRS（TX 和 RX）相关转储中提取配置工件。 此部分帮助： - 从绑定短语推导 ELRS UID - 从原始数据块中提取 `uid`、`wifi-ssid` 和 `wifi-password` - 构建或查询基于 kvrocks 的彩虹表以分析 ELRS 绑定短语 这在调查无线电控制组件和操作员侧的配置时非常有用，这些配置可能残留在 ELRS TX/RX 设备中。 ## 预期用途 该存储库适用于法医和事件响应流程，在这些流程中时间至关重要，且重复性提取任务应被自动化。 典型用例包括： - 在扣押或坠机恢复后对 DIY FPV 无人机进行初步分析 - 从控制器或无线电转储中提取结构化技术指标 - 为分析师笔记和正式报告生成可重复的输出 - 为下游共享和相关分析准备数据 ## 说明 - 每个子目录都包含自己的 README，提供特定工具的详细使用示例。 - 工具围绕真实世界的转储解析构建，而非通用无人机理论。 - 部分目标仅提供部分支持，可能需要针对异固件或硬件版本进行适配。 ## 反馈 - 请发送任何未受支持的异固件或提取失败的案例。 ## 作者与许可 该工具由 CIRCL 卢森堡开发，网址为 www.circl.lu。 本项目根据 GNU Affero General Public License v3.0（AGPL-3.0）授权。详细信息请参阅存储库中的 [`LICENSE`](./LICENSE) 文件。

标签：ArduPilot, Betaflight, Blackbox 解析, CSV 导出, ELRS, ExpressLRS, GPS 轨迹提取, Homebrew安装, INAV, KV Rocks 彩虹表, MISP 集成, STM32 固件分析, UID 分析, WiFi 提取, YARA 扫描, 固件提取, 开源取证工具, 技术报告自动化, 数字取证, 无人机取证, 无人机调查, 绑定短语解析, 自动化报告, 自动化脚本, 航空电子取证, 证据提取, 逆向工具, 配置恢复, 飞行控制器取证, 飞行数据解析, 黑匣子日志