chiragjaiswar0814/Chrono-Trace

# 🔍 Chrono-Trace 数字取证时间线重建工具 Chrono-Trace 是一个基于 Python 的取证分析工具，用于重建潜在受损系统上事件的时间顺序。它从文件系统中提取 MAC（修改、访问、创建）时间，并解析日志文件以识别可疑的活动模式。 ## 功能特性 - **MAC 时间提取**：使用 `os` 和 `stat` 模块遍历目录并提取文件时间戳 - **日志文件解析**：支持 Windows 事件日志 (CSV) 和 Unix 身份验证日志 - **异常检测**：自动标记可疑模式： - 正常更新窗口之外的系统文件修改 - 身份验证失败（暴力破解指标） - 权限提升尝试 - 时间戳篡改检测 - **时间线生成**：导出为 CSV 和交互式 HTML 报告 - **跨平台**：支持在 Windows、macOS 和 Linux 上运行 ## 安装 ``` pip install -r requirements.txt ``` ## 使用说明 ### 分析目录 MAC 时间 ``` # 扫描当前目录 python chrono_trace.py . # 使用自定义深度扫描特定目录 python chrono_trace.py C:\Users\Investigator\Documents -d 5 # 带摘要输出扫描 python chrono_trace.py /home/user --summary ``` ### 解析日志文件 ``` # 解析 Windows Event Log (CSV 格式) python chrono_trace.py sample_windows_events.csv --log-type csv # 解析 Unix auth log python chrono_trace.py sample_auth.log --log-type auth # 根据文件名自动检测日志类型 python chrono_trace.py sample_auth.log --log-type auto ``` ### 输出选项 ``` # 仅 CSV 输出 python chrono_trace.py . -f csv -o investigation # 仅 HTML 报告 python chrono_trace.py . -f html -o report # 两种格式（默认） python chrono_trace.py . -f both -o timeline ``` ### 自定义 CSV 解析 ``` # 为 CSV 解析指定自定义列名 python chrono_trace.py events.csv \ --csv-timestamp-col "DateTime" \ --csv-event-col "EventID" \ --summary ``` ## 输出 ### CSV 格式 该工具生成包含以下列的 CSV 文件： - `timestamp`：ISO 格式时间戳 - `event_type`：事件类型（mac_modified、mac_accessed、mac_created、log_event、auth_failure 等） - `source`：文件路径或日志来源 - `description`：事件描述 - `user`：关联的用户账户 - `details`：JSON 编码的附加详情 - `is_anomaly`：布尔值，指示事件是否被标记 - `anomaly_reason`：异常原因说明 ### HTML 报告 交互式 HTML 报告特性： - 摘要统计信息 - 事件过滤（全部、异常、MAC 时间、日志事件） - 可视化异常高亮 - 按日期进行时间顺序分组 ## 异常检测规则 Chrono-Trace 会自动标记以下可疑模式： | 模式 | 检测方法 | |---------|-----------------| | 系统文件修改 | 位于系统路径下的文件在凌晨 2-5 点之外的时段被修改 | | 身份验证失败 | 多次登录尝试失败 | | 权限提升 | sudo 的使用，管理员权限提升 | | 时间戳篡改 | 出现未来日期或早于 2000 年的日期 | | 可疑关键词 | 日志中出现 "exploit"、"attack"、"backdoor"、"unauthorized" | ## 示例数据 本仓库包含用于测试的示例数据文件： - `sample_windows_events.csv`：包含可疑活动的模拟 Windows 事件日志 - `sample_auth.log`：包含模拟暴力破解攻击的模拟 Unix auth.log ## 分析示例 ``` # 对示例 Windows 事件运行分析 python chrono_trace.py sample_windows_events.csv --summary # 输出显示： # 事件总数：15 # 异常：8 (privilege escalation、可疑进程、brute force 等) ``` ## 技术细节 ### MAC 时间提取 - 使用 `os.scandir()` 实现高效的目录遍历 - 优雅地处理权限错误 - 跨平台时间戳处理 ### 日志解析 - 具有可配置列映射的 CSV 解析 - Auth 日志正则表达式模式匹配 - 自动检测时间戳格式 ## 许可证 MIT 许可证 - 仅供教育和取证调查目的使用。

标签：CSV导出, HTML报告, MAC时间提取, meg, Python, 信息安全, 免杀技术, 取证工具, 库, 应急响应, 异常检测, 数字取证, 无后门, 日志解析, 时间戳篡改检测, 时间线重建, 暴力破解检测, 权限提升检测, 端点安全, 系统日志分析, 网络安全, 自动化脚本, 补丁管理, 证书伪造, 逆向工具, 隐私保护