sainivedhh/E2EEMemoryForensicsWithYARA

GitHub: sainivedhh/E2EEMemoryForensicsWithYARA

一款面向 E2EE 消息应用的实时内存取证平台,通过直接读取进程 RAM 绕过加密保护,提取明文通讯残留、IOC 指标及 YARA 威胁检测结果。

Stars: 0 | Forks: 0

# 🔍 实时内存取证套件 **用于调查 E2EE 消息传递应用程序** [![Python 版本](https://img.shields.io/badge/python-3.9%2B-blue.svg)](https://www.python.org/downloads/) [![许可证:MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](https://opensource.org/licenses/MIT) [![平台](https://img.shields.io/badge/Platform-Windows-lightgrey.svg)]() ## 📖 概述 端到端加密 (E2EE) 平台(如 **WhatsApp**、**Signal** 和 **Telegram**)使得传统的磁盘取证和网络流量分析几乎变得不可能。然而,为了向用户显示消息,这些应用程序必须将其有效载荷在易失性内存 (RAM) 中临时解密。 此工具可自动提取这些短暂的残留数据,以防它们被覆盖。它提供了一个企业级 Web 仪表板,能够捕获实时进程内存、使用 Shannon Entropy 搜寻加密密钥,并使用 **YARA** 交叉比对注入的威胁。 ## ✨ 主要特性 - **🛡️ E2EE 绕过:** 直接从活动窗口安全地提取已解密的 WhatsApp JID、群组标识符、会话 URL 和消息片段。 - **🦠 YARA 威胁情报:** 针对活动的 RAM 转储,编译并扫描 `.yar` 签名,以检测驻留在内存中的恶意软件、注入的 DLL 和加密挖矿程序。 - **📂 文件雕刻引擎:** 刮取堆以查找“魔数头字节”,以定位完全存储在 RAM 中正在执行的二进制文件 (`MZ`)、PDF 和 SQLite 数据库。 - **🌐 网络 IOC 提取器:** 捕获妥协指标 (IOC),包括 IPv4 地址、域和已知的加密钱包字符串。 - **🔐 加密密钥查找器:** 使用高级熵启发式算法(Shannon Entropy 公式)扫描内存块以查找加密有效载荷。 - **🖥️ 高级 Web 仪表板:** 使用原生 JS 构建的精美、响应式、玻璃拟物化 UI,连接到高速 Python FastAPI 后端。 - **💾 离线报告:** 提取的内存结构作为本地 JSON 报告安全保存,以维护监管链的完整性。 ## 🛠️ 技术栈与要求 - **后端:** Python 3, FastAPI, Uvicorn, Sysinternals API (`ctypes`), `psutil`, `yara-python`。 - **前端:** HTML5, CSS3, Vanilla JavaScript。 - **目标操作系统:** Windows 10/11 x64(需要管理员权限以进行深度内存访问)。 ## 🚀 安装与设置 1. **克隆仓库:** git clone https://github.com/sainivedhh/E2EEMemoryForensicsWithYARA.git cd E2EEMemoryForensicsWithYARA 2. **设置虚拟环境并安装依赖:** python -m venv venv .\venv\Scripts\activate pip install fastapi uvicorn psutil yara-python 3. **启动 FastAPI 后端:** *注意:确保您的终端具有管理员权限,以便能够读取受保护的进程内存。* python backend/main.py *后端将在 `http://localhost:8085` 上启动* 4. **启动 Web 仪表板(前端):** 打开一个**新**的终端标签页: cd frontend python -m http.server 3000 5. **访问套件:** 打开浏览器并导航至 `http://localhost:3000`。 ## 🎯 工作原理 1. **目标识别:** Web 门户列出所有正在运行的进程及其内存签名。 2. **原生获取:** 使用 Windows `ReadProcessMemory` API,扫描器将活动堆内存的块直接转储到多阶段提取管道中。 3. **痕迹发现:** 内存数组通过四个独立的启发式提取器(聊天提取器、YARA 扫描器、雕刻器和 IOC 猎手)进行处理。 4. **情报解析:** 发现的情报将被去除空字节、净化、评分,并原生传送至异步 UI 网格中。 ## ⚠️ 法律免责声明 *此工具严格为学术研究、授权的数字取证和执法应用而构建。内存获取只能在已获得适当同意的授权端点上执行。作者对滥用本平台不承担任何责任。*
标签:AV绕过, DNS信息、DNS暴力破解, E2EE解密, FastAPI, Python, SecList, Signal取证, Telegram取证, Web仪表盘, WhatsApp取证, YARA规则, 内存取证, 内存抓取, 加密密钥提取, 即时通讯应用取证, 域渗透, 威胁情报, 库, 应急响应, 开发者工具, 开源情报工具, 数字取证, 数据提取, 文件恢复, 文件雕刻, 无后门, 易失性内存分析, 电子数据取证, 端到端加密绕过, 网络IOC提取, 网络安全, 网络安全审计, 自动化脚本, 逆向工具, 隐私保护, 香农熵