beingbhaktsharmaaaaaa3/DFIR-Malware-Analysis-Tool

GitHub: beingbhaktsharmaaaaaa3/DFIR-Malware-Analysis-Tool

这是一个集成了多种分析工具的离线数字取证和恶意软件分析平台，旨在简化事件响应和威胁调查流程。

Stars: 0 | Forks: 0

# ForensicOps v3.2.1 — 离线数字取证、事件响应与恶意软件分析工具包 ## 快速开始 ### Windows 系统 ``` Python 3 needed for installation Right click start_windows.bat- properties - security - check unblock Double-click: start_windows.bat ``` ### Linux / macOS 系统 ``` chmod +x start_linux.sh ./start_linux.sh ``` 浏览器将自动打开：**http://127.0.0.1:8000** ## 首次运行会发生什么 1. 检查 Python 环境（要求 3.9+） 2. 创建虚拟环境 (`venv/`) 3. 自动安装以下包： - `fastapi` + `uvicorn` — 网络服务器 - `pefile` — PE 可执行文件分析 - `yara-python` — YARA 规则扫描 - `python-evtx` — Windows 事件日志解析 - `scapy` — PCAP 网络分析 - `python-magic` — 文件类型检测 4. 示例 YARA 规则将写入 `tools/yara/rules/` 目录 5. 在 `backend/database/forensicops.db` 创建 SQLite 数据库 6. 后端服务在 8000 端口启动 7. 浏览器自动打开 ## 系统要求 | 平台 | 要求 | |----------|-------------| | Windows | Python 3.9+ (https://python.org)，并添加到 PATH | | Linux | `python3`, `python3-pip`, `python3-venv` | | macOS | 通过 Homebrew 或 python.org 安装 Python 3.9+ | ### Linux 一键安装： ``` sudo apt install python3 python3-pip python3-venv libmagic1 ``` ## 项目结构 ``` ForensicOps/ ├── start_windows.bat ← Windows launcher ├── start_linux.sh ← Linux/macOS launcher │ ├── backend/ │ ├── main.py ← FastAPI backend (all analysis) │ ├── requirements.txt ← Python dependencies │ ├── evidence/ ← Uploaded evidence (auto-created) │ ├── database/ │ │ └── forensicops.db ← SQLite case database (auto-created) │ └── temp/ ← Temp files for analysis (auto-cleaned) │ ├── frontend/ │ └── index.html ← Full DFIR UI (your existing tool) │ ├── tools/ │ └── yara/ │ └── rules/ ← Drop .yar files here │ ├── cobalt_strike.yar │ ├── suspicious_powershell.yar │ ├── mimikatz.yar │ ├── ransomware_generic.yar │ └── packers.yar │ ├── reports/ ← Generated HTML/JSON reports └── logs/ └── server.log ← Live server logs ``` ## API 端点 | 方法 | 端点 | 描述 | |--------|----------|-------------| | GET | `/` | 提供前端服务 | | GET | `/api/status` | 后端状态及模块信息 | | GET | `/api/cases` | 列出所有案例 | | POST | `/api/cases` | 创建新案例 | | GET | `/api/cases/{id}` | 获取案例详情 | | POST | `/api/upload` | 上传证据文件 | | POST | `/api/analyze/hash` | 哈希与熵分析 | | POST | `/api/analyze/static` | PE/静态恶意软件分析 | | POST | `/api/analyze/yara` | YARA 规则扫描 | | POST | `/api/analyze/evtx` | Windows 事件日志解析 | | POST | `/api/analyze/pcap` | PCAP 网络分析 | | POST | `/api/timeline/build` | 构建案例时间线 | | GET | `/api/report/{case_id}` | 生成 HTML 报告 | 交互式 API 文档：**http://127.0.0.1:8000/docs** ## 添加 YARA 规则将 `.yar` 或 `.yara` 文件放入以下目录： ``` tools/yara/rules/ ``` 规则会在每次扫描时自动加载，无需重启服务。 ## 安全说明 - 上传的恶意软件样本会被重命名并添加 `.blocked` 扩展名 - 文件**绝不会被执行** — 仅进行静态分析 - 证据存储在隔离的 `backend/evidence/` 文件夹中 - 所有处理都在本地完成 — 数据不会离开您的机器 - SQLite 数据库存储在本地：`backend/database/forensicops.db` ## 停止服务器 **Windows：** 关闭终端窗口或按 `Ctrl+C` **Linux/macOS：** 在终端中按 `Ctrl+C` ## 故障排除 **“Python not found”** - Windows：从 python.org 下载，并勾选 "Add to PATH" - Linux：`sudo apt install python3` **“Port 8000 already in use”** - 启动器会自动终止占用 8000 端口的现有进程 - 手动操作：`kill $(lsof -ti:8000)` (Linux) 或检查任务管理器 (Windows) **“yara-python install failed”** - Linux：`sudo apt install libssl-dev libjansson-dev` - 然后：`pip install yara-python` **“scapy install failed”** - Linux：`sudo apt install python3-scapy` - 或：`pip install scapy` **EVTX 模块问题** - `pip install python-evtx` **浏览器未自动打开** - 请手动访问：http://127.0.0.1:8000

标签：AV绕过, DAST, FastAPI, PCAP分析, PE文件分析, Python, Python编程, SQLite数据库, uvicorn, Web界面, Windows事件日志解析, YARA规则扫描, 事件日志, 内核监控, 取证工具, 后端开发, 域环境安全, 恶意代码分析, 恶意软件分析, 数字取证, 数据库管理, 文件类型检测, 无后门, 离线工具包, 系统分析, 网络分析, 网络安全, 自动化分析, 自动化脚本, 证据管理, 跨站脚本, 逆向工具, 配置文件, 隐私保护