Avinash-019/DowsCop

# 🕵️‍♂️ DowsCop — Windows 取证证据收集器 DowsCop 是一款基于 Windows 的模块化数字取证工具，旨在自动化收集和分析关键系统证据。它生成结构化的 JSON 输出和详细的 PDF 报告，以支持数字调查、事件响应和安全分析。 ## 🚀 功能 * 🔹 模块化架构（12 个取证收集器） * 🔹 系统和硬件信息收集 * 🔹 用户账户和权限枚举 * 🔹 网络证据（活动连接、端口、ARP 缓存） * 🔹 注册表分析（自启动项、持久化机制） * 🔹 事件日志提取（Security、System、PowerShell、Defender） * 🔹 浏览器证据（历史记录、下载记录、登录痕迹） * 🔹 Prefetch、ShimCache 和 Amcache 分析 * 🔹 USB 设备历史记录跟踪 * 🔹 文件系统证据收集 * 🔹 内存证据收集 * 🔹 证据哈希计算用于完整性验证 * 🔹 自动生成 PDF 报告 * 🔹 结构化 JSON 输出以供进一步分析 ## 📂 输出 执行后，该工具会生成： * 📁 **原始证据文件夹** * 包含所有已收集的结构化数据 * 📄 **PDF 报告** * 人类可读的取证报告 * 🧾 **JSON 文件** * 机器可读的数据，用于分析或 SIEM 集成 ## ⚙️ 工作原理 1. 执行权限检查 2. 创建案例目录 3. 执行多个取证收集模块 4. 从不同系统层收集证据 5. 为收集的数据计算哈希值 6. 生成结构化输出（JSON + PDF） ## 🧪 包含模块 * 系统信息 * 用户和账户 * 网络证据 * 进程证据 * 注册表证据 * 事件日志 * 浏览器证据 * Prefetch / ShimCache / Amcache * 持久化机制 * 文件系统证据 * 内存证据 * USB 设备历史记录 ## ▶️ 用法 ``` python main.py ``` ## ⚠️ 注意事项 * 部分证据可能因权限限制而无法访问 * 某些日志（例如 Sysmon）如果未在系统上进行配置，可能无法获取 * 结果可能因系统配置和用户权限的不同而有所差异 ## 🎯 适用场景 * 数字取证调查 * 事件响应 * 系统审计 * 安全研究 ## 🔐 免责声明 本工具仅用于教育和经授权的取证调查。请勿在未获适当授权的系统上使用。 ## 👨‍💻 作者 **Avinash Prajapati** ## ⭐ 贡献 欢迎贡献、提出问题和功能请求。

标签：Amcache, API安全, DAST, Google搜索, HTTPS请求, JSON输出, Mr. Robot, PDF报告, Python, SecList, Shimcache, SIEM集成, USB设备历史, Windows取证, Windows 调试器, 事件日志, 内存取证, 勒索软件分析, 子域名变形, 子域名枚举, 库, 应急响应, 开源安全工具, 恶意软件分析, 持久化分析, 数字取证, 数据包嗅探, 无后门, 无线安全, 注册表分析, 流量嗅探, 浏览器取证, 痕迹收集, 系统安全, 网络安全, 自动化取证, 自动化脚本, 逆向工具, 逆向工程平台, 隐私保护, 预读取分析