MVulcansTrace/VulcansTrace-Windows

# VulcansTrace VulcansTrace 是一款 Windows 桌面安全分析工具，可解析 Windows 防火墙日志，运行多种行为检测器，关联相关发现，并将调查结果打包为 HMAC 签名的证据导出。**所有分析均在本地运行，日志绝对不会离开本机。**  此仓库的结构设计便于招聘人员和技术审查人员检查： - 代码展示了涵盖解析、检测、证据打包、测试以及 WPF UI 层的面向生产的实现。 - [Official-Docs](./Official-Docs/README.md) 包含针对系统主要部分的、对招聘人员友好的以及技术性的案例研究。 ## 为什么这个项目脱颖而出 - 端到端所有权：输入原始防火墙文本，输出结构化的发现和受完整性保护的调查工件。 - 安全重点：项目围绕威胁检测、取证可追溯性展开，并诚实地处理了各项权衡与局限性。 - 强大的工程验证：解决方案构建顺畅，自动化测试套件覆盖了解析器、检测器、证据以及 WPF 工作流。 - 清晰的沟通：文档组织有序，既适合招聘人员的快速审查，也适合更深层次的工程评估。 ## 核心能力 - Windows 防火墙日志解析，包含验证、原始行保留和解析错误报告 - 针对端口扫描、信标活动、横向移动、泛洪行为、策略违规和异常新行为的检测 - 当发现结果关联到同一主机时进行跨信号风险升级 - 强度配置，在完整性、成本和分析师噪音之间进行权衡 - 多种格式的证据导出，并为调查人员交接提供完整性支持 - 采用 MVVM 模式的 WPF 桌面 UI，支持异步分析、过滤和导出工作流 ## 架构 - [VulcansTrace.Core](./VulcansTrace.Core)：领域模型、解析和共享安全实用程序 - [VulcansTrace.Engine](./VulcansTrace.Engine)：检测器、风险升级、配置文件配置和分析编排 - [VulcansTrace.Evidence](./VulcansTrace.Evidence)：证据构建器以及 Markdown、HTML 和 CSV 格式化程序 - [VulcansTrace.Wpf](./VulcansTrace.Wpf)：使用 WPF 和 MVVM 风格的 ViewModel 构建的 Windows 桌面 UI - [VulcansTrace.Tests](./VulcansTrace.Tests)：跨核心逻辑、引擎行为、证据打包和 UI 工作流的 xUnit 覆盖范围 - [Official-Docs](./Official-Docs/README.md)：面向 GitHub 的主要子系统作品集文档 ## 从这里开始 如果您正在快速查看此仓库，请按照以下路径进行： 1. 阅读 [Official-Docs](./Official-Docs/README.md) 以获取作品集索引。 2. 打开 [端口扫描检测](./Official-Docs/02-Port-Scan-Detection/README.md) 查看具有代表性的检测器案例研究。 3. 打开 [风险升级](./Official-Docs/08-Risk-Escalation/README.md) 了解发现是如何被关联为更高置信度的主机风险的。 4. 打开 [证据打包](./Official-Docs/09-Evidence-Packaging/README.md) 了解结果是如何转化为可共享的 HMAC 签名工件的。 5. 打开 [WPF UI](./Official-Docs/12-WPF-UI/README.md) 查看产品是如何在桌面工作流中呈现的。 ## 运行项目 此仓库面向 `.NET 9`，且由于使用了 WPF，该桌面应用程序仅限 Windows 运行。 ``` dotnet build VulcansTrace.sln dotnet test VulcansTrace.Tests\VulcansTrace.Tests.csproj dotnet run --project VulcansTrace.Wpf ``` ## 技术验证 - 解决方案入口点：[VulcansTrace.sln](./VulcansTrace.sln) - 桌面应用程序：[VulcansTrace.Wpf](./VulcansTrace.Wpf) - 检测引擎：[VulcansTrace.Engine](./VulcansTrace.Engine) - 证据打包：[VulcansTrace.Evidence](./VulcansTrace.Evidence) - 测试：[VulcansTrace.Tests](./VulcansTrace.Tests) 此工作区中最近的验证： - `dotnet build VulcansTrace.sln --configuration Release --no-restore` 于 2026 年 5 月 3 日成功，有 `0` 个警告和 `0` 个错误。 - `dotnet test VulcansTrace.Tests\VulcansTrace.Tests.csproj --configuration Release --no-restore --verbosity minimal` 于 2026 年 5 月 3 日通过了 `262/262` 个测试。 - `dotnet list VulcansTrace.sln package --vulnerable --include-transitive` 于 2026 年 5 月 3 日报告没有易受攻击的包。 ## 实时演示 ### 核心分析工作流  ### 强度配置深入探究  ### 证据导出  ## 文档导航 - [1 - 日志解析](./Official-Docs/01-Log-Parsing/README.md) - [2 - 端口扫描检测](./Official-Docs/02-Port-Scan-Detection/README.md) - [3 - 信标活动检测](./Official-Docs/03-Beaconing-Detection/README.md) - [4 - 横向移动检测](./Official-Docs/04-Lateral-Movement-Detection/README.md) - [5 - 泛洪检测](./Official-Docs/05-Flood-Detection/README.md) - [6 - 策略违规检测](./Official-Docs/06-Policy-Violation-Detection/README.md) - [7 - 异常检测](./Official-Docs/07-Novelty-Detection/README.md) - [8 - 风险升级](./Official-Docs/08-Risk-Escalation/README.md) - [9 - 证据打包](./Official-Docs/09-Evidence-Packaging/README.md) - [10 - 强度配置](./Official-Docs/10-Intensity-Profiles/README.md) - [11 - 自动化测试](./Official-Docs/11-Automated-Tests/README.md) - [12 - WPF UI](./Official-Docs/12-WPF-UI/README.md) ## 审阅者应有的期望 - 诚实的文档，既解释了优势也说明了当前的局限 - 按职责而非单一单体结构组织的代码库 - 覆盖检测器、集成路径、证据格式化和桌面工作流的测试 - 扎根于当前实现、而非夸大其词的作品集展示

标签：AMSI绕过, CCTV/网络接口发现, HMAC签名, IP 地址批量处理, MITRE ATT&CK映射, MVVM, PE 加载器, Windows桌面应用, WPF, Zenmap, 信标检测, 威胁检测, 安全分析工具, 安全工具开发, 异常行为检测, 插件系统, 数据完整性, 日志解析, 本地安全分析, 横向移动检测, 端口扫描检测, 端点安全, 补丁管理, 证书伪造, 证据导出, 防火墙日志分析, 风险升级