SiteQ8/LLM-DFIR
GitHub: SiteQ8/LLM-DFIR
一套专注于AI与LLM工具(如Copilot、Cursor)的数字取证与应急响应工具包,提供跨平台证据收集、IOC扫描及交互式分析功能。
Stars: 0 | Forks: 0
# 🔍 LLM-DFIR
### AI 取证收集工具包
[]()
[]()
[]()
[]()
**Web 工具:** [siteq8.github.io/LLM-DFIR](https://siteq8.github.io/LLM-DFIR)
一个实用的 DFIR 工具包,用于从基于 LLM 的工具(Copilot、Cursor、Claude Code、MCP 服务器、浏览器 AI 助手、向量数据库和本地 LLM 运行时)中收集和分析取证工件。
## 这是什么
一个由两部分组成的工具包:
1. **`scripts/llm_triage.py`** — 一个 Python 收集脚本,遍历 Windows、macOS 和 Linux 上的 15 个工件路径,对所有内容进行哈希处理以维护证据监管链,扫描内容以查找 IOC,并生成时间线 + 清单 + IOC 报告文件。
2. **Web 工具 (`docs/index.html`)** — 一个交互式分析工作台。拖入分类输出文件即可进行审查。过滤工件。排序时间线。分类 IOC。生成收集命令。查找路径。测试 IOC 模式。参考工件目录。
一切均在本地运行。该 Web 工具是一个单页静态 HTML 文件——无后端、无上传、无遥测。
## 快速开始
```
# 1. 在目标主机上运行收集脚本
git clone https://github.com/SiteQ8/LLM-DFIR.git
cd LLM-DFIR
python3 scripts/llm_triage.py --output ./evidence
# 2. 打开 web 工具
open docs/index.html # or just visit siteq8.github.io/LLM-DFIR
# 3. 将 ./evidence/ 中的文件拖入 Import 标签页
# (timeline.json、iocs.json、evidence_inventory.csv)
```
## Web 工具功能
**工作区**
- **仪表板** — 统计概览、快速入门、近期活动
- **导入证据** — 拖放分类输出文件以供审查(完全在浏览器中解析)
- **工件** — 可排序、可过滤、可搜索的工件表格,带有详情面板
- **IOCs** — 检测到的指标的可按严重性和类别过滤的视图
- **时间线** — 按 mtime 排序的取证时间线可视化
**工具**
- **命令构建器** — 为目标主机生成可直接运行的分类命令及选项
- **路径查找** — 粘贴任意文件路径,识别其属于哪种 AI 工件类别
- **IOC 扫描器** — 粘贴内容,运行实时 IOC 模式检测
- **参考** — 浏览所有 15 种工件类型及其在各操作系统上的路径
**运营**
- **手册** — 针对 prompt 注入、数据泄露、供应链受损的 IR 手册
- **基线** — 7 项最低日志记录配置
## 分类脚本
单个 Python 文件,无依赖项,适用于 Python 3.9+。
```
python3 scripts/llm_triage.py --help
--output PATH Output directory (default: ./triage_TIMESTAMP)
--no-content Skip content scanning (faster)
--list-artifacts List all 15 artifact categories
```
**输出:**
- `timeline.json` — 排序后的取证时间线(适配 Plaso/Timesketch)
- `evidence_inventory.csv` — 包含 SHA-256 哈希的完整工件清单
- `iocs.json` — 匹配 IOC 模式的文件
- `report.html` — 独立的 HTML 报告
**检测到的 IOC 模式:**
- API 密钥(`sk-*`, `sk-ant-*`, `AIza*`, `pcsk_*`, `hf_*`)
- LLM API 端点(OpenAI, Anthropic, Azure, Google, Mistral, Cohere)
- Prompt 注入模式(ChatML, 越狱, 忽略先前指令)
- 数据窃取指标(私钥、SSN、CC 模式、敏感关键字)
## 跟踪的工件
| 类别 | 工具 |
|----------|-------|
| **IDE 插件** | GitHub Copilot · Cursor · Claude Code · Codeium/Windsurf |
| **MCP** | Claude Desktop 配置 · MCP 服务器日志 |
| **浏览器 AI** | Chrome/Edge LevelDB · Firefox IndexedDB |
| **API 客户端** | OpenAI SDK · Anthropic SDK |
| **向量数据库** | ChromaDB · FAISS |
| **模型缓存** | HuggingFace |
| **Agent 框架** | LangChain |
| **本地 LLM** | Ollama |
| **Shell 历史** | bash, zsh, fish, PowerShell |
包含路径和解析提示的完整工件参考:[`taxonomy/ARTIFACTS.md`](taxonomy/ARTIFACTS.md)
## 作者
**Ali AlEnezi** · [@SiteQ8](https://github.com/SiteQ8) · [3li.info](https://3li.info)标签:DLL 劫持, HTTP工具, Python, 大语言模型, 安全审计, 库, 应急响应, 数字取证, 无后门, 自动化脚本