aiagentmackenzie-lang/DEADDROP

# 🔍 DEADDROP — 数字取证工具包 **一体化 DFIR 工具包，具备 AI 辅助分类、现代 Web 仪表板和自动化报告功能。** [](https://python.org) [](LICENSE) ## 🎯 什么是 DEADDROP？ DEADDROP 是一款以命令行为主的数字取证工具包，统一了磁盘取证、内存取证、时间线分析、工件狩猎以及 AI 辅助分类功能。它填补了单体 GUI 工具（如 Autopsy）与碎片化 CLI 工具（如 TSK、Volatility）之间的空白——足够快以用于现场作业，具备足够的可视化能力以用于报告，并且模块化设计便于扩展。 **杀手级功能：** 具备异常检测的 AI 辅助分类与基于 LLM 的案件摘要——目前没有其他开源 DFIR 工具能做到这一点。 ## ✨ 功能 - 🗄️ **证据管理** — 每一步都包含 SHA-256/MD5 校验的保管链 - 💾 **磁盘取证** — 文件系统解析、文件雕刻、注册表分析、Prefetch、事件日志、MFT 解析 - 🧠 **内存取证** — Volatility3 封装，用于进程分析、网络连接、恶意软件检测 - ⏱️ **超级时间线** — 将磁盘 + 内存 + 日志工件合并为统一时间线（支持 CSV/JSON/Body 文件导出） - 🎯 **工件狩猎** — YARA 扫描、IOC 匹配、预设狩猎包（持久化、横向移动、数据外泄） - 🤖 **AI 分类** — 统计异常检测 + Ollama 驱动的 LLM 案件摘要 - 📄 **报告** — 专业的 HTML/PDF 报告，内嵌证据、保管链和时间线可视化 - 🔌 **插件系统** — 通过 Python 入口点扩展核心功能，无需修改核心代码 - 📊 **Web 仪表板** — 基于 React + D3 的交互式时间线可视化 ## 🚀 快速开始 ### 安装 ``` # 克隆 git clone https://github.com/aiagentmackenzie-lang/DEADDROP.git cd DEADDROP # 使用 pip 安装 pip install -e . # 或使用所有额外组件 pip install -e ".[disk,memory,dev]" ``` ### 创建案件 ``` # 创建取证案例 deaddrop case create --name "Incident-2026-001" --analyst "Raphael" # 摄入证据 deaddrop ingest disk --image suspect.dd --case deaddrop ingest memory --dump memory.raw --case ``` ### 分析 ``` # 文件系统分析 deaddrop analyze filesystem --case # 内存分析（需要 Volatility3） deaddrop analyze memory --case --plugin windows.pslist # 事件日志分析 deaddrop analyze events --case ``` ### 狩猎 ``` # YARA 扫描 deaddrop hunt run --case --yara /path/to/rules/ # 预构建狩猎包 deaddrop hunt run --case --pack persistence # IOC 匹配 deaddrop hunt run --case --ioc iocs.json ``` ### AI 分类 ``` # 运行异常评分 deaddrop triage run --case # LLM 案例摘要（需要 Ollama） deaddrop triage summary --case ``` ### 时间线 ``` # 生成超级时间线 deaddrop timeline generate --case # 导出 deaddrop timeline export --case --format csv deaddrop timeline export --case --format json deaddrop timeline export --case --format body # 筛选 deaddrop timeline filter --case --from 2026-04-01 --to 2026-04-15 ``` ### 报告 ``` # HTML 报告 deaddrop report generate --case --format html # PDF 报告（需要 weasyprint） deaddrop report generate --case --format pdf ``` ### 仪表板 ``` # 启动 Web UI deaddrop dashboard --port 8080 ``` ### Docker ``` # 一键完整栈 docker-compose up ``` 仪表板地址：http://localhost:3000 API 地址：http://localhost:8080 ## 🏗️ 架构 ``` CLI (Click) → Core Engine (Python) → API Server (Fastify/TS) → Dashboard (React + D3) ↓ ┌─────────────┼──────────────┐ │ │ │ Disk Memory Timeline Forensics Forensics Engine │ │ │ └─────────────┼──────────────┘ ↓ Artifact Hunter (YARA + IOC) ↓ AI Triage (Anomaly + LLM) ↓ Report Generator (HTML + PDF) ``` ## 📂 项目结构 ``` DEADDROP/ ├── src/deaddrop/ # Python engine │ ├── cli/ # Click CLI commands │ ├── core/ # Case management, evidence, config │ ├── disk/ # Disk forensics (filesystem, carving, registry, prefetch, events, MFT) │ ├── memory/ # Memory forensics (Volatility3 wrapper) │ ├── timeline/ # Timeline engine + export │ ├── hunt/ # YARA scanner + IOC matcher + hunt packs │ ├── triage/ # AI anomaly detection + LLM summaries │ ├── report/ # HTML/PDF report generation │ └── plugins/ # Plugin system + built-in plugins ├── server/ # Fastify API server (TypeScript) ├── dashboard/ # React + D3 dashboard ├── rules/ # YARA rules (malware, persistence, suspicious) ├── tests/ # pytest test suite └── docs/ # Documentation ``` ## 🔬 支持的证据格式 | 类型 | 格式 | |------|------| | **磁盘** | RAW/DD、E01、VMDK、QCOW2、ISO、IMG | | **内存** | RAW、VMEM、Windows 崩溃转储、ELF64、Windows 最小转储 | ## 📋 安全事件覆盖 覆盖 50 多种 Windows 安全事件，包括：登录/注销（4624/4625/4634）、凭据访问（4648/4768/4769）、进程创建（4688）、服务安装（4697/7045）、计划任务（4698/4702）、审计清除（1102）等。 ## 📄 许可证 MIT 许可证 — 详见 [LICENSE](LICENSE)。 ## 🏷️ 标签 `digital-forensics` `dfir` `incident-response` `yara` `volatility` `timeline` `memory-forensics` `disk-forensics` `ai-triage` `cybersecurity` 由 [Agent Mackenzie](https://github.com/aiagentmackenzie-lang) 为 [Raphael's Security Portfolio](https://github.com/aiagentmackenzie-lang) 构建

标签：AI辅助, AI风险缓解, Artifact Hunting, D3可视化, HTML报告, IOC匹配, LLM摘要, LLM评估, MD5, MFT解析, Ollama, PDF报告, Python, Python 3.12, React仪表板, SecList, SHA-256, Volatility3, YARA扫描, 事件日志, 内存取证, 取证工具, 开源取证, 异常检测, 数字取证, 数据外泄, 文件 carving, 无后门, 横向移动, 注册表分析, 磁盘取证, 编程规范, 自动化脚本, 证据管理, 请求拦截, 调试插件, 逆向工具, 链式保管, 预取分析