brysonchong/memforge

## MEMFORGE 工具 **AI驱动的内存取证分析器** — 将 Volatility 输出直接导入 DeepSeek 进行自动化威胁分析、IOC 提取和企业级 PDF 报告生成。 ``` memory dump → Volatility → MEMFORGE → DeepSeek AI → PDF Report ``` ## 功能特点 - **流式 AI 分析**，通过 DeepSeek R1 或 V3，结果实时呈现 - **威胁严重性评级** — 严重/高/中/低/安全，并附带置信度评分 - **自动 IOC 提取** — 可疑 PID、IP、域名、文件路径、注册表键值 - **MITRE ATT&CK 映射** — 从取证证据中识别战术和技术 - **攻击链重建** — 从内存构件构建攻击杀伤链 - **企业级 PDF 报告** — 封面页、案件元数据、完整分析、原始输入附录 - **多种输入模式** — 文件、标准输入管道或交互式粘贴 - **支持 6 种插件类型** — pslist、netscan、malfind、dlllist、cmdline、strings ## 系统要求 - Python 3.10+ - [DeepSeek API Key](https://platform.deepseek.com) - Kali Linux / 任何 Linux 发行版（兼容 Windows） ## 安装说明 ``` # 克隆 repo git clone https://github.com/yourusername/memforge.git cd memforge # 选项 A — 虚拟环境（在 Kali 上推荐） python3 -m venv venv source venv/bin/activate pip install -r requirements.txt # 选项 B — 全系统范围 pip install -r requirements.txt --break-system-packages ``` ## 使用方法 ### 交互模式（粘贴 Volatility 输出） ``` python memforge.py ``` ### 从文件读取 ``` python memforge.py -f pslist_output.txt -m pslist ``` ### 从 Volatility 直接管道传输 ``` vol -f memory.dmp windows.pslist | python memforge.py -m pslist ``` ### 完整选项 ``` python memforge.py -f dump.txt -m malfind --model deepseek-reasoner -o report.pdf ``` ## 选项说明 | 标志 | 描述 | |------|------| | `-f, --file` | Volatility 输出文件路径 | | `-m, --module` | 插件类型：`pslist` `netscan` `malfind` `dlllist` `cmdline` `strings` `custom` | | `-k, --key` | DeepSeek API Key（或设置 `DEEPSEEK_API_KEY` 环境变量） | | `--model` | `deepseek-reasoner`（默认，R1）或 `deepseek-chat`（V3，更快） | | `-o, --output` | PDF 输出路径（如未指定则自动命名） | | `--no-pdf` | 跳过 PDF 生成，仅终端输出 | ## API Key 设置 ``` # 设置为环境变量（推荐） export DEEPSEEK_API_KEY=sk-your-key-here # 或直接传递 python memforge.py -f dump.txt -k sk-your-key-here ``` 在 [platform.deepseek.com](https://platform.deepseek.com) 获取您的 API Key。 ## PDF 报告结构 | 部分 | 内容 | |------|------| | 封面页 | 案例 ID、时间戳、插件来源、AI 模型、威胁等级徽章 | | 取证分析 | 包含所有 6 个部分的完整 AI 分析 | | 附录 | 原始 Volatility 输出（截断至 3,000 字符） | 每页均包含案例 ID 的页眉和页码、时间戳及“机密”标记的页脚。 ## 支持的模块 | 模块 | Volatility 插件 | 覆盖内容 | |------|-----------------|----------| | `pslist` | `windows.pslist` / `windows.pstree` | 进程层次结构、父子关系 | | `netscan` | `windows.netscan` / `windows.netstat` | 活动和已关闭的网络连接 | | `malfind` | `windows.malfind` | 包含注入/可疑代码的内存区域 | | `dlllist` | `windows.dlllist` | 每个进程加载的 DLL | | `cmdline` | `windows.cmdline` | 每个进程的命令行参数 | | `strings` | `strings` / `bulk_extractor` | 从原始内存中提取的字符串 | | `custom` | 任何工具输出 | 粘贴任何取证工具的输出 | ## 开发路线图 - [ ] 直接集成 Volatility 3 API（无需手动复制粘贴） - [ ] 对 malfind 输出进行 YARA 规则扫描 - [ ] 集成威胁情报源（AbuseIPDB、VirusTotal） - [ ] 多插件批量分析与关联分析 - [ ] 时间线重建（UTC 时间排序的事件视图） - [ ] 导出 STIX 2.0 以集成 SIEM - [ ] 带案件管理的 Web 界面 ## 免责声明 本工具仅用于**授权的取证分析和安全研究**。在分析任何系统的内存前，请务必确保已获得明确许可。作者对本工具的任何误用不承担责任。 ## 许可证 MIT — 详见 [LICENSE](LICENSE)

标签：AI驱动分析, DAST, DeepSeek AI, IOC提取, MITRE ATT&CK集成, PDF报告生成, SecList, Volatility集成, 企业安全报告, 内存取证, 威胁分析, 威胁情报, 实时数据分析, 开发者工具, 恶意软件分析, 攻击链重建, 数字取证, 网络安全, 自动化侦查工具, 自动化威胁检测, 自动化脚本, 逆向工具, 隐私保护