HammadAhmedCheema/memnet

# MemNet v2.8 🕵️‍♂️ **MemNet** 是为大学数字取证课程第 4 阶段开发的最先进的内存取证平台。它专为**瞬态、零痕迹调查**而设计，结合了 **Volatility 3** 的强大功能与专有的 **Gemini 驱动的 AI 分析仪**，用于实时工件关联。 ## 工具概述 与依赖持久化数据库的传统取证套件不同，MemNet 采用**瞬态 SQL 架构**。取证结果存储在易失性会话缓冲区中，在应用程序退出时会被自动安全删除，确保敏感证据不会保留在分析人员的机器上。 ### 核心功能 - **自动化内存分类**：开箱即支持 `PsList`、`NetStat`、`Malfind` 和 `Registry` 分析。 - **AI 驱动的专家模块**：使用拼接的 VAD 上下文，专门提取浏览器历史记录、URL 和 Tor（深网）签名。 - **关系映射**：动态可视化进程-网络-文件之间的关系。 - **证据完整性**：对所有摄入的内存转储自动进行 MD5 和 SHA256 哈希处理。 ## 安装与前置条件 MemNet 需要 **Python 3.10 或 3.11**。 ### 前置条件 - **操作系统**：Linux（推荐 Kali Linux 或 Ubuntu 22.04+） - **Pip**：Python 包管理器 - **互联网连接**：AI 分析仪集成和符号下载所需。 ### 环境设置 强烈建议使用虚拟环境以防止依赖冲突。 ``` # 导航到项目根目录并创建 venv python3 -m venv .venv source .venv/activate # 安装 core dependencies pip install --upgrade pip pip install -r requirements.txt ``` ### 关键组件 以下软件包是取证引擎的核心依赖： - **volatility3**：核心取证框架。 - **yara-python**：内存签名扫描。 - **capstone**：指令反汇编。 - **PyQt6**：图形界面。 ## AI 分析仪配置 MemNet 目前仅支持 **Google Gemini API** 用于智能工件关联。当前版本不支持其他 AI 提供商（例如 OpenAI、Anthropic）。 1. 从 [Google AI Studio](https://aistudio.google.com/) 获取 API 密钥。 2. 在根目录中创建一个名为 `api_key` 的文件： echo "YOUR_API_KEY_HERE" > api_key 3. 或者，如果缺少该文件，应用程序将通过 GUI 提示您输入密钥。 ## 执行步骤 启动取证套件： ``` python -m memnet.main ``` ### 典型工作流 1. **摄入证据**：通过仪表板加载 `.raw`、`.mem` 或 `.E01` 内存转储文件。 2. **自动化分类**：该工具自动启动阶段 1-3 的分类（进程、网络、专家模块提取）。 3. **AI 咨询**：与 **AI 专家**交互，以关联发现或生成取证报告。 4. **会话退出**：关闭应用程序；瞬态会话数据库（`mft_session.db`）将自动清空。 ## 平台兼容性 | 平台 | 状态 | 说明 | | :---------------------------- | :----------------- | :---------------------------------------------- | | **Linux (Kali/Ubuntu)** | ✅ 完全支持 | 主要开发环境。推荐。 | | **Windows 10/11** | ⚠️ 支持 | 需要 Python 3.10 和 Volatility 3 二进制文件。 | | **macOS** | ⚠️ 支持 | 对专用内存格式的支持有限。 | ## 故障排除 - **ModuleNotFoundError (memnet.xxx)**：请确保您是从项目根目录使用 `python -m memnet.main` 运行该工具。 - **Volatility Layer Failure**：检查您的符号服务器配置，或确保您使用的是受支持的 Windows 内存镜像。 - **AI Analyst Timeout**：检查您的互联网连接，并确保您的 Gemini API 密钥具有足够的配额。 *为数字取证课程（第 6 学期）开发。*

标签：AI分析师, Capstone, DAST, Deep Web, DLL 劫持, DNS信息、DNS暴力破解, Gemini, Google搜索, GUI界面, HTTP工具, JARM, MD5, PyQt6, Python, SHA256, Tor取证, Tor浏览器, VAD上下文, Volatility3, Wayback Machine, YARA规则, 临时SQL架构, 人工智能, 内存分析, 内存取证框架, 内存特征扫描, 动态应用程序安全测试, 反汇编, 域渗透, 大语言模型, 恶意软件分析, 教育学项目, 数字取证, 数据包嗅探, 文件哈希, 无后门, 无痕调查, 无线安全, 暗网调查, 注册表分析, 用户模式Hook绕过, 电子数据取证, 网络安全, 网络安全审计, 网络连接分析, 自动化分类, 自动化脚本, 证据完整性, 进程关系映射, 进程分析, 逆向工具, 隐私保护