HACKERpgx/Digital-Forensics-and-Incident-Response

# 取证工件收集器 🔍 一个专为数字取证和事件响应 (DFIR) 设计的模块化 Python 脚本。该工具使用 ExifTool 安全地自动化收集加密哈希、文件系统元数据和深度文件元数据，且不修改源证据。 ## 功能 - **完整性优先：** 以分块方式计算文件的 SHA-256 哈希，从而支持处理超大文件而不会耗尽内存。 - **深度元数据：** 集成 `ExifTool` 以提取隐藏的元数据（作者、创建软件、GPS 数据等）。 - **系统工件：** 提取 MAC 时间（Modified、Accessed、Created）、权限和所有权数据。 - **取证严谨：** 对目标文件以严格的只读模式运行。输出被隔离到单独的目录中。 - **全面日志记录：** 生成控制台输出和带时间戳的日志文件，用于监管链 文档。 ## 前置条件 此脚本使用标准 Python 3 库，因此无需 `pip install`。但是，您的系统上**必须安装 ExifTool**。 - **Debian/Ubuntu:** `sudo apt install libimage-exiftool-perl` - **macOS:** `brew install exiftool` - **Windows:** 从 [ExifTool 网站](https://exiftool.org/) 下载并将其添加到系统 PATH 中。 ## 使用方法 从命令行运行该脚本，指定目标（文件或目录）和输出目录。 ## 输出 该脚本将在您指定的输出目录中生成两个文件： collection_log_YYYYMMDD_HHMMSS.log：操作日志。 forensic_report_YYYYMMDD_HHMMSS.json：包含所有哈希和元数据的结构化 JSON 报告。 ``` python3 forensic_collector.py -t -o ```

标签：ESC漏洞, ETW劫持, ExifTool, Homebrew安装, MAC时间, SHA256, 元数据提取, 取证完整性, 只读模式, 司法鉴定, 哈希计算, 开源安全工具, 数字取证, 日志记录, 时间戳, 溯源分析, 电子取证, 自动化脚本, 证据收集, 进程保护, 逆向工具, 逆向工程平台