Jaivardhan55/dfir-console

# Windows DFIR Operations Console with ML-based Threat Detection 该项目是一个数字取证和事件响应系统，用于分析 Windows 日志（如 EVTX 和注册表数据）。它处理、规范化事件数据，提取特征，应用机器学习检测可疑活动，将相关事件分组，并通过交互式仪表板重建时间线。 ## 📌 Overview 本项目是一个数字取证与事件响应（DFIR）系统，旨在自动化分析 Windows 取证工件，例如 EVTX 日志和注册表数据。它有助于识别可疑活动、重建事件时间线，并通过交互式仪表板可视化事件。 ## 🚀 Features - 🔍 取证工件摄取（EVTX 日志、注册表文件） - ⚙️ 原始系统数据解析与规范化 - 🧠 基于机器学习（逻辑回归）的检测 - 📊 可疑事件评分与分类 - 🔗 将相关事件聚类为事件 - 🕒 事件时间线重建 - 📈 交互式可视化仪表板 - 📡 基于 REST API 的后端（FastAPI） ## 🧠 System Workflow 摄取 → 解析 → 规范化 → 特征提取 → ML 评分 → 聚类 → 时间线 → 仪表板 ## 🛠️ Tech Stack ### Backend - FastAPI - SQLAlchemy - Pydantic ### Machine Learning - scikit-learn（逻辑回归） - NumPy ### Forensics - python-evtx - python-registry ### Frontend - Vite - TypeScript - Tailwind CSS ## 📊 How It Works 1. 系统从文件或系统路径摄取取证工件。 2. 原始日志被解析并转换为结构化数据。 3. 数据被规范化以确保一致性并去重。 4. 提取用户、进程和时间戳等特征。 5. 使用逻辑回归模型将事件分类为可疑或正常。 6. 相关事件被分组到聚类中。 7. 事件被排列为时间线以供调查。 8. 结果通过交互式仪表板展示。 ## 🎯 Use Cases - 数字取证调查 - 事件响应分析 - 恶意活动检测 - 日志分析自动化 ## ⚠️ Limitations - 模型准确性取决于训练数据 - 高级实时检测仍在开发中 ## 🔮 Future Improvements - 提高机器学习模型准确性 - 添加实时监控 - 增强报告系统（基于 AI 的洞察） ## 👨‍💻 Author Jaivardhan

标签：AMSI绕过, AV绕过, Caido项目解析, EVTX, FastAPI, IP 地址批量处理, Mutation, Python, REST API, Tailwind CSS, TypeScript, Vite, Windows日志, 事件聚类, 交互式仪表盘, 取证自动化, 可疑活动识别, 可视化, 后台系统, 威胁检测, 子域名变形, 安全插件, 异常检测, 数字取证, 无后门, 日志归一化, 日志摄入, 日志解析, 时间线重建, 机器学习检测, 注册表分析, 特征提取, 自动化脚本, 证书伪造, 逻辑回归