baditaflorin/forensics-in-tab

# Tab 中的取证 [](https://baditaflorin.github.io/forensics-in-tab/) [](docs/adr/0001-deployment-mode.md) 纯浏览器端的磁盘镜像、内存转储、YARA 规则和反汇编取证分析，无需上传证据。 在线站点：https://baditaflorin.github.io/forensics-in-tab/ 代码仓库：https://github.com/baditaflorin/forensics-in-tab  ## 已验证功能 - 多文件选择器和拖拽导入 - 粘贴导入文本、hex 和 base64 - 首次运行探索的样本证据加载器 - 本地案例队列，支持单项类型覆盖 - 对活动证据项进行磁盘提取和分区分析 - 内存 IOC 提取和 PE 提示分类 - 使用可重用规则进行本地 YARA 子集扫描 - 基于 Capstone 的反汇编与 CSV 导出 - JSON 报告导出、剪贴板复制、打印视图以及可恢复的会话导出 - 基于 IndexedDB 的浏览器本地案例恢复，以及用于小型会话的可共享 URL 哈希 ## 快速开始 ``` npm install make install-hooks make dev make test make build ``` ## 系统架构 Forensics in Tab 是一个纯 GitHub Pages 应用。证据文件由浏览器读取并在本地分析，从不发送到服务器。可选的稍后恢复持久化功能通过 IndexedDB 保留在同一浏览器中；依然没有任何运行时后端。 ``` flowchart LR Investigator["Investigator browser"] --> Pages["GitHub Pages static app"] Investigator --> LocalFile["Local disk image or memory dump"] LocalFile --> Browser["Browser workers and WASM-capable analyzers"] Browser --> Report["Local report export"] Pages -. serves only static assets .-> Browser ``` ## 文档 架构：https://github.com/baditaflorin/forensics-in-tab/blob/main/docs/architecture.md 部署：https://github.com/baditaflorin/forensics-in-tab/blob/main/docs/deploy.md 隐私：https://github.com/baditaflorin/forensics-in-tab/blob/main/docs/privacy.md ADRs：https://github.com/baditaflorin/forensics-in-tab/tree/main/docs/adr 总结复盘：https://github.com/baditaflorin/forensics-in-tab/blob/main/docs/postmortem.md 第三阶段总结复盘：https://github.com/baditaflorin/forensics-in-tab/blob/main/docs/postmortem-phase3.md ## 限制 - 该应用每个证据项最多采样 64 MiB，用于浏览器本地分类。 - 可共享的 URL 仅适用于小型会话；较大的案例应使用会话导出。 - 在 Mode A 中，基于 URL 的远程证据接收被刻意排除在范围之外，因为 CORS 和远程获取意味着静态应用无法保证的工作流。 ## 许可证 MIT

标签：AI工具, Base64, Capstone, DNS信息、DNS暴力破解, DNS解析, Findomain, GitHub Pages, Hex分析, HTML5, IndexedDB, IOC提取, PE分析, SecList, WASM, Wayback Machine, WebAssembly, YARA规则, 内存取证, 反汇编, 库, 应急响应, 开源项目, 数字取证, 数据可视化, 数据隐私, 无上传, 无服务器, 本地分析, 浏览器工具, 磁盘分区解析, 磁盘取证, 自动化攻击, 自动化脚本, 静态网站