Noaamiko/Windows-Forensics

# Windows-Forensics 自动化数字取证工具 - 使用 Bash 进行文件雕刻、内存分析、PCAP 检查与字符串提取 🔍 Windows 取证工具 自动化数字取证与内存分析工具 开发者：Noam Shafir 📌 概述 一个基于 Bash 的全面自动化工具，旨在简化数字取证调查的关键阶段。 该脚本可自动化执行文件雕刻、内存分析、网络流量检查和字符串提取——所有操作都在单一结构化工作流中完成，并最终输出清晰的报告和压缩的 ZIP 归档文件。 🚀 主要特性 Root 验证 — 确保脚本在执行前具有所需的权限 工具设置 — 为所有必需的取证工具（Foremost、Bulk Extractor、Binwalk、TShark、Strings）提供交互式安装程序 文件雕刻 — 使用 Foremost 和 Bulk Extractor 提取嵌入的文件和工件 字符串分析 — 从文件中提取目标字符串，按关键字进行过滤：password、user、exe、root、error、http、system PCAP 检测 — 自动搜索提取出的 PCAP 文件，并呈现结构化的 TShark 流量摘要 内存分析 — 如果输入的是内存转储文件，则运行 Volatility 3 提取进程列表、进程树和网络连接——自动检测 OS 格式（Windows / Linux / Mac） 报告与归档 — 生成结构化的摘要报告，并将所有结果压缩为 ZIP 文件以便于交付 🛠️ 技术栈与要求 语言：Bash 使用的工具（通常可在 Kali Linux 中找到）： 工具用途Foremost文件雕刻Bulk Extractor工件提取Strings基于关键字的字符串提取TSharkPCAP 流量分析Volatility 3内存转储分析Binwalk固件 / 二进制分析（可选） ⚙️ 安装与使用 克隆仓库： bashgit clone https://github.com/khunixx/Windows-Forensics cd Windows-Forensics 授予执行权限： bashchmod +x forensics.sh 使用 Root 权限运行： bashsudo ./forensics.sh 🔄 扫描工作流 Root 检查 → 工具设置 → 文件输入 → 雕刻 → PCAP 检查 → 内存分析 → 报告与 ZIP 打包 📂 输出结构 output_folder/ ├── bulk_data/ # Bulk Extractor 工件 ├── fore_data/ # Foremost 雕刻文件 ├── strings_data/ # 按关键字过滤的字符串结果 │ ├── pass.txt │ ├── exe.txt │ ├── user.txt │ ├── root.txt │ ├── error.txt │ ├── valid.txt │ ├── system.txt │ └── http.txt ├── VOL_data/ # Volatility 内存分析（如适用） │ ├── pslist.txt │ ├── pstree.txt │ └── netstat.txt └── report.txt # 摘要报告 output_folder.zip # 所有结果的压缩归档文件 ⚠️ 免责声明 本工具仅供教育和合法的取证目的使用。 未经适当授权，在系统或文件上使用本工具是非法的。 开发者对本程序的任何误用或造成的损害不承担任何责任。

标签：Binwalk, Bulk Extractor, Foremost, HTTPS请求, HTTP工具, JARM, Mr. Robot, PCAP分析, TShark, Windows取证, Wireshark, 内存分析, 内存转储分析, 句柄查看, 域渗透, 字符串提取, 库, 应急响应, 应用安全, 开源安全工具, 攻击面映射, 数字取证, 数据包嗅探, 数据恢复, 文件雕刻, 电子数据取证, 网络安全, 网络安全审计, 网络流量分析, 自动化取证, 自动化脚本, 进程分析, 逆向工程平台, 隐私保护