WolfmarkSystems/Strata

# Strata **专业的数字取证平台 — 17 个插件，355 个移动端解析器，34 条 Sigma 规则，ML 驱动分析，符合法庭要求的报告。** 由美国陆军反情报特工和数字取证专家构建。 对美国军方和执法机构免费。提供商业授权。 ## 什么是 Strata Strata 是一个用 Rust 构建的、符合法庭要求的隔离取证分析平台。它以单一二进制文件形式在 Windows、macOS 和 Linux 上运行，无需安装。它解析来自 Windows、macOS、iOS 和 Android 系统的证据，并生成具有完整监管链 审计追踪的法庭可辩护报告。 现有的工具是为企业预算和会议演示而构建的。Strata 则是为实战检查而构建 — 因为工具预算绝不应成为取证人员与证据之间的障碍。 ## 功能特性 - **17 个取证插件**，涵盖 Windows、macOS、iOS、Android、云、网络、内存和恶意软件 - **355 个移动端痕迹解析器** — 157 个 Android（相当于 ALEAPP）+ 198 个 iOS（相当于 iLEAPP），全部为只读 SQLite - **34 条 Sigma 关联规则**，完全覆盖 MITRE ATT&CK kill chain - **ML 驱动分析** — 异常检测，高管案件摘要，反取证阻挠评分 (0-100) - **CSAM 检测模块** — 基于哈希和感知的检测，兼容 NCMEC/Project VIC，不可变审计追踪，所有授权层级免费 - **符合法庭要求的报告** — Word 和 PDF 导出，监管链审计日志，证据完整性验证，阻挠评分部分 - **隔离部署** — 单一二进制文件（macOS 24 MB），USB 便携，无云依赖，无遥测 - **跨平台** — Windows、macOS、Linux。解析来自 iOS 和 Android 设备的证据 - **89% 纯 Rust** — 2,393 个测试，生产路径中零 unsafe 代码块，零 clippy 警告 ## 插件 | 插件 | 覆盖范围 | |---|---| | Phantom | 注册表配置单元 (SYSTEM/SOFTWARE/SAM/NTUSER/AmCache/USRCLASS)、USBSTOR、ShimCache、WDigest、23 个持久化/凭据/横向移动解析器、完整 AmCache 架构 | | Chronicle | UserAssist、Jump Lists、LNK 文件、Shellbags、Windows 时间线 | | Sentinel | Security.evtx、PowerShell 4103/4104、Sysmon、RDP、Kerberos、横向移动 | | Trace | Prefetch、BAM/DAM、计划任务、BITS 作业、timestomp 检测、结构化 SRUM ESE 解析器 | | Remnant | 回收站、USN 日志、ADS、反取证工具检测、VSS 删除 | | Guardian | Windows Defender、AV/EDR 日志、WER 崩溃文件、防火墙配置 | | Cipher | WiFi 密码、浏览器凭据、SSH 密钥、AWS/Azure 密钥 | | MacTrace | LaunchAgents、FSEvents、统一日志、Gatekeeper、隔离机制、Time Machine | | Nimbus | OneDrive、Google Drive、Teams、Slack、M365 UAL、AWS CloudTrail、Azure | | Conduit | WiFi 配置文件、RDP 历史记录、VPN 痕迹、DNS 缓存 | | NetFlow | PCAP/PCAPNG、IIS/Apache/Nginx 日志、数据外泄 工具检测 | | Vector | PE 头部、VBA 宏、PowerShell 混淆、Mimikatz/Cobalt Strike | | Wraith | hiberfil.sys、LSASS dump 检测、崩溃转储分析 | | Recon | 用户名/邮箱/IP 提取、AWS AKIA 密钥检测、SID 历史记录 | | Specter | Android 备份 (`.ab`)、包清单、Wi-Fi 配置、设备配置文件 | | Pulse | **157 个 Android 解析器**（短信、通话记录、联系人、Gmail、Chrome、照片、位置、剪贴板、键盘缓存、Wi-Fi、蓝牙、日历、通知等） · **198 个 iOS 解析器**（KnowledgeC、iMessage、Safari、健康、重要地点、备忘录、WhatsApp、Signal、Telegram、Snapchat、查找、Biome、PowerLog、HealthKit、Strava、AllTrails、CarPlay、HomeKit、Apple Pay、锻炼路线等） — 全部为只读 SQLite，兼容 UFDR | | **Sigma** | **34 条关联规则。始终最后运行。完整的 MITRE ATT&CK kill chain。** | ## CSAM 检测模块 `strata-csam` crate 为取证人员和执法机构提供基于哈希和感知的 CSAM 检测。 - 导入 NCMEC MD5 哈希列表、Project VIC VICS JSON 和通用 SHA1/SHA256 集合 - 64 位 dHash 感知匹配及汉明距离 评分 - SHA256 链式不可变审计日志 — 记录每个操作，无任何自动显示 - 符合法庭要求的 PDF 和 JSON 报告 — 绝不嵌入任何图像内容 - 根据 18 U.S.C. § 2258A 在每份报告中包含强制性报告通知 - **所有授权层级免费 — 永不设限** 取证人员导入自己的哈希集。Strata 绝不捆绑哈希数据。 ## ML 驱动分析 Strata 包含三个确定性 ML 模块 — 无需模型文件，无云调用，全部本地运行。 | 模块 | 功能 | |---|---| | **异常检测** (`strata-ml-anomaly`) | 标记文件元数据（时间戳、大小、熵）中的统计异常值。捕获手动审查容易遗漏的时间戳篡改、数据暂存和数据外泄模式。 | | **高管摘要** (`strata-ml-summary`) | 根据痕迹数据生成纯英语案件摘要。一段给检察官，一段给陪审团 — 无术语，无缩略语。 | | **阻挠评分** (`strata-ml-obstruction`) | 生成一个 0-100 的评分，汇总所有检测到的反取证行为（VSS 删除、日志清除、安全删除工具、时间戳操纵）。仅供参考。 | 所有 ML 模块在**所有授权层级**上均可用，包括免费政府/军方版本。 ## 工具 | 工具 | 用途 | |---|---| | `wolfmark-deploy` | 内部部署向导 — 构建已签名的、组织定制的 Strata USB 套件，包含 Ed25519 授权签名、批量授权包和完整审计追踪 | | `wolfmark-license-gen` | 授权密钥对生成器 | ## 构建 ``` # Prerequisites：Rust stable，Node.js，pnpm git clone https://github.com/WolfmarkSystems/Strata.git cd Strata cargo build --release -p strata ``` **CI 状态：** macOS ✅ · Linux ✅ · Windows ✅ ## 授权 **政府使用许可 — 免费** 美国军方和执法机构可免费使用 Strata。通过 .mil 或 .gov 电子邮箱验证。 适用对象：Army CID、NCIS、AFOSI、CGIS、FBI RCFL、HSI、IRS-CI、USSS、DEA、ATF、ICAC 任务部队、州和地方执法机构。 **商业许可 — 年度订阅** 面向私人取证公司、企业安全团队、独立取证员、法律事务所和保险调查员。 联系方式：contact@wolfmarksystems.com ## 安全 如需报告漏洞，请参阅 [SECURITY.md](SECURITY.md)。 ## 版权 版权所有 © 2026 Wolfmark Systems。保留所有权利。 美国版权注册：Case #1-15137320181 完整条款请参阅 [LICENSE](

标签：AlienVault OTX, Android取证, Apex, Cloudflare, CSAM检测, DAST, HTTPS请求, iOS取证, macOS取证, MITRE ATT&CK, Rust语言, SecList, Sigma规则, SQLite解析, Windows取证, 云取证, 儿童色情检测, 内存取证, 单文件应用, 反取证检测, 可视化界面, 司法鉴定, 完整性验证, 开源安全工具, 异常检测, 恶意软件分析, 数字取证, 机器学习, 法庭报告, 溯源分析, 电子取证, 监管链, 目标导入, 离线部署, 移动取证, 网络安全, 自动化脚本, 逆向工程平台, 通知系统, 隐私保护