prajwal-2201/DeepTrace

GitHub: prajwal-2201/DeepTrace

一款面向取证分析师和 SOC 团队的综合数字取证系统，提供从磁盘镜像解析到隐写检测、异常分析和专业报告生成的完整工作流。

Stars: 0 | Forks: 0

# 🛡️ DeepTrace：高级取证情报 ![Python](https://img.shields.io/badge/Python-3.10%2B-blue?style=for-the-badge&logo=python) ![Flask](https://img.shields.io/badge/Flask-2.0%2B-lightgrey?style=for-the-badge&logo=flask) ![ReportLab](https://img.shields.io/badge/Report-PDF%20%2F%20JSON-orange?style=for-the-badge) ![License](https://img.shields.io/badge/License-MIT-green?style=for-the-badge) ## 🎯 概述 **DeepTrace 取证系统** 是一款专为取证分析师和 SOC 团队设计的综合工具。它模拟了真实的网络犯罪调查工作流程，从磁盘获取到深度启发式分析，最终生成专业的证据报告。 ### 🚀 核心功能 * **🔍 磁盘取证**：深度解析 RAW 和 E01 镜像，并支持已删除文件的雕刻恢复。 * **🕵️ 隐写检测**：启发式 LSB（最低有效位）分析，用于发现隐藏的 payload。 * **⚠️ 异常狩猎**：基于熵的加密检测和 magic byte 不匹配识别。 * **🔐 完整性与哈希**：自动生成用于取证保管链的 MD5/SHA256 哈希值。 * **📊 时间线重建**：系统活动和文件事件的按时间顺序映射。 * **📑 专业报告**：自动生成符合 SOC 标准的 PDF 和 JSON 报告。 ## 🧱 系统架构 ``` graph TD A[Disk Image / RAW / E01] --> B[Disk Forensics Module] B --> C[Metadata & Timeline] B --> D[Deleted File Recovery] C --> E[Deep Inspection Engine] D --> E E --> F[Stego Detection] E --> G[Anomaly Heuristics] E --> H[YARA / PII Scanner] F & G & H --> I[Reporting Engine] I --> J[PDF Evidence Report] I --> K[JSON Data Export] L[Web Dashboard] <--> I ``` ## 🛠️ 技术栈 | 类别 | 技术 | | :--- | :--- | | **语言** | Python 3.10+ | | **取证** | `pytsk3`, `pyewf`, `regipy` | | **分析** | `yara-python`, `python-magic`, `numpy` | | **UI/UX** | Flask, Socket.IO, Tailwind CSS, Chart.js | | **报告** | ReportLab Platypus | ## 📁 目录结构 ``` project/ ├── core/ # Disk analysis & Metadata extraction ├── stego/ # LSB detection & Payload carving ├── analysis/ # Entropy, YARA, PII, and Anomalies ├── integrity/ # Forensic hashing (MD5/SHA256) ├── report/ # PDF/JSON generation & Timeline builder ├── ui/ # Web Dashboard (Flask templates/static) ├── data/ # Rules, Uploads, and Generated Reports └── main.py # Unified system entry point ``` ## 🚀 快速入门 ### 1. 安装 ``` # 克隆 repository git clone https://github.com/prajwal-2201/DeepTrace cd DeepTrace # 安装 dependencies pip install -r requirements.txt ``` ### 2. 启动仪表板 ``` python3 main.py ``` 访问 `http://localhost:5000` 以进入企业取证工作区。 ## 🎬 “演示故事” **场景**：*通过隐写术进行数据窃取* “我们模拟了一个案例：嫌疑人将敏感的公司蓝图隐藏在高分辨率图像中，然后将其删除以躲避检测。使用该系统，我们： 1. 从未分配空间中**恢复**了已删除的 JPG 文件。 2. **检测**到可疑的 LSB 熵，从而标记出隐藏数据。 3. 使用 magic-byte carver **提取**了隐藏的 payload。 4. **生成**了一份记录整个证据链且符合法庭标准的 PDF 报告。” ## 📑 示例报告功能 * **执行摘要**：扫描结果的高层统计概述。 * **威胁情报**：YARA 匹配项和 PII 泄露表。 * **按时间顺序的时间线**：文件活动的逐步重建。 * **证据清单**：每个文件及其关联的 MD5/SHA256 哈希值。 ## ⚖️ 许可证本项目采用 MIT 许可证授权 - 有关详细信息，请参阅 [LICENSE](LICENSE) 文件。 *专为专业取证分析与 SOC 操作而开发。*

标签：DAST, DNS信息、DNS暴力破解, E01镜像, Flask, HTTP工具, JSON导出, LSB分析, MD5, PDF报告, PII扫描, Python, RAW镜像, regipy, SHA256, Web仪表盘, YARA规则, 个人可识别信息, 取证分析平台, 司法鉴定, 哈希校验, 子域名变形, 安全运营中心, 客户端加密, 异常检测, 恶意软件分析, 数字取证, 数据恢复, 文件雕刻, 无后门, 时间线重构, 注册表分析, 熵分析, 电子取证, 磁盘取证, 磁盘镜像分析, 网络安全, 网络映射, 自动化报告, 自动化脚本, 证据报告, 证据链保全, 身份验证滥用, 逆向工具, 防御分析, 隐写术检测, 隐私保护