SiteQ8/LLM-DFIR

GitHub: SiteQ8/LLM-DFIR

一套专注于AI与LLM工具(如Copilot、Cursor)的数字取证与应急响应工具包,提供跨平台证据收集、IOC扫描及交互式分析功能。

Stars: 0 | Forks: 0

# 🔍 LLM-DFIR ### AI 取证收集工具包 [![Tools](https://img.shields.io/badge/15-Artifact_Types-39d0a8?style=flat-square)]() [![Platforms](https://img.shields.io/badge/Win/Mac/Linux-5fa8ff?style=flat-square)]() [![Python](https://img.shields.io/badge/Python-3.9+-3776AB?style=flat-square)]() [![License](https://img.shields.io/badge/License-MIT-gold?style=flat-square)]() **Web 工具:** [siteq8.github.io/LLM-DFIR](https://siteq8.github.io/LLM-DFIR) 一个实用的 DFIR 工具包,用于从基于 LLM 的工具(Copilot、Cursor、Claude Code、MCP 服务器、浏览器 AI 助手、向量数据库和本地 LLM 运行时)中收集和分析取证工件。
## 这是什么 一个由两部分组成的工具包: 1. **`scripts/llm_triage.py`** — 一个 Python 收集脚本,遍历 Windows、macOS 和 Linux 上的 15 个工件路径,对所有内容进行哈希处理以维护证据监管链,扫描内容以查找 IOC,并生成时间线 + 清单 + IOC 报告文件。 2. **Web 工具 (`docs/index.html`)** — 一个交互式分析工作台。拖入分类输出文件即可进行审查。过滤工件。排序时间线。分类 IOC。生成收集命令。查找路径。测试 IOC 模式。参考工件目录。 一切均在本地运行。该 Web 工具是一个单页静态 HTML 文件——无后端、无上传、无遥测。 ## 快速开始 ``` # 1. 在目标主机上运行收集脚本 git clone https://github.com/SiteQ8/LLM-DFIR.git cd LLM-DFIR python3 scripts/llm_triage.py --output ./evidence # 2. 打开 web 工具 open docs/index.html # or just visit siteq8.github.io/LLM-DFIR # 3. 将 ./evidence/ 中的文件拖入 Import 标签页 # (timeline.json、iocs.json、evidence_inventory.csv) ``` ## Web 工具功能 **工作区** - **仪表板** — 统计概览、快速入门、近期活动 - **导入证据** — 拖放分类输出文件以供审查(完全在浏览器中解析) - **工件** — 可排序、可过滤、可搜索的工件表格,带有详情面板 - **IOCs** — 检测到的指标的可按严重性和类别过滤的视图 - **时间线** — 按 mtime 排序的取证时间线可视化 **工具** - **命令构建器** — 为目标主机生成可直接运行的分类命令及选项 - **路径查找** — 粘贴任意文件路径,识别其属于哪种 AI 工件类别 - **IOC 扫描器** — 粘贴内容,运行实时 IOC 模式检测 - **参考** — 浏览所有 15 种工件类型及其在各操作系统上的路径 **运营** - **手册** — 针对 prompt 注入、数据泄露、供应链受损的 IR 手册 - **基线** — 7 项最低日志记录配置 ## 分类脚本 单个 Python 文件,无依赖项,适用于 Python 3.9+。 ``` python3 scripts/llm_triage.py --help --output PATH Output directory (default: ./triage_TIMESTAMP) --no-content Skip content scanning (faster) --list-artifacts List all 15 artifact categories ``` **输出:** - `timeline.json` — 排序后的取证时间线(适配 Plaso/Timesketch) - `evidence_inventory.csv` — 包含 SHA-256 哈希的完整工件清单 - `iocs.json` — 匹配 IOC 模式的文件 - `report.html` — 独立的 HTML 报告 **检测到的 IOC 模式:** - API 密钥(`sk-*`, `sk-ant-*`, `AIza*`, `pcsk_*`, `hf_*`) - LLM API 端点(OpenAI, Anthropic, Azure, Google, Mistral, Cohere) - Prompt 注入模式(ChatML, 越狱, 忽略先前指令) - 数据窃取指标(私钥、SSN、CC 模式、敏感关键字) ## 跟踪的工件 | 类别 | 工具 | |----------|-------| | **IDE 插件** | GitHub Copilot · Cursor · Claude Code · Codeium/Windsurf | | **MCP** | Claude Desktop 配置 · MCP 服务器日志 | | **浏览器 AI** | Chrome/Edge LevelDB · Firefox IndexedDB | | **API 客户端** | OpenAI SDK · Anthropic SDK | | **向量数据库** | ChromaDB · FAISS | | **模型缓存** | HuggingFace | | **Agent 框架** | LangChain | | **本地 LLM** | Ollama | | **Shell 历史** | bash, zsh, fish, PowerShell | 包含路径和解析提示的完整工件参考:[`taxonomy/ARTIFACTS.md`](taxonomy/ARTIFACTS.md) ## 作者 **Ali AlEnezi** · [@SiteQ8](https://github.com/SiteQ8) · [3li.info](https://3li.info)
标签:DLL 劫持, HTTP工具, Python, 大语言模型, 安全审计, 库, 应急响应, 数字取证, 无后门, 自动化脚本