cagatay005/AdliMudahele
GitHub: cagatay005/AdliMudahele
AdliMudahele 是一款面向 Ubuntu 的 C++/Python 混合架构 DFIR 即时响应工具,用于在网络安全事件发生时快速捕获系统易失性数据并生成带哈希封存的取证报告。
Stars: 0 | Forks: 0
# AdliMudahele
**数字取证与事件响应(DFIR)即时响应工具**
  
## 英文说明
### 关于项目
**AdliMudahele** 是一款专为 Linux(Ubuntu)环境设计的 DFIR 即时响应(triage)工具。当发生网络安全事件(如疑似恶意软件、未授权访问或数据外泄)时,调查人员需要在不破坏证据的情况下获取系统易失性状态的即时快照。该工具利用底层 **C++ 引擎** 进行数据提取,并通过 **Python(Tkinter)GUI** 实现 Matrix 主题的界面展示,从而支持对系统进行快速、安全且只读的分析。
### 核心功能
* **实时网络取证:** 识别活动连接、开放端口及关联进程(PID),以检测未授权数据外泄或 C2 通信。
* **持久化检测:** 扫描计划任务(`cron` 任务),发现隐藏的恶意软件持久化机制。
* **易失性内存(RAM)分析:** 隔离并列出占用内存最高的进程,帮助识别无文件恶意软件。
* **浏览器钓鱼分析:** 通过绕过 SQLite 数据库锁,安全提取最近的 Firefox 浏览历史(支持 Snap 和传统 `.deb` 安装方式)。
* **USB 外泄追踪:** 解析内核日志(`dmesg`),识别最近连接的 USB 存储设备(制造商、产品和序列号)。
* **加密封存:** 自动将取证结果导出为带时间戳的文本报告,并生成对应的 **SHA-256 哈希封存**,以加密方式证明证据链的完整性。
## 土耳其语说明
### 关于项目
**AdliMudahele**,Linux(Ubuntu) ortamları için özel olarak geliştirilmiş bir DFIR ilk müdahale (triage) aracıdır. Bir siber olay meydana geldiğinde (şüpheli zararlı yazılım, yetkisiz erişim veya veri sızıntısı gibi), adli bilişim uzmanlarının delilleri yok etmeden sistemin uçucu durumunun anlık bir görüntüsüne ihtiyacı olur. Veri çıkarma işlemi için düşük seviyeli bir **C++ motoru** ve görsel sunum için Matrix temalı bir **Python (Tkinter) arayüzü** kullanan bu araç, sistemin hızlı, güvenli ve salt okunur analizi edilmesini sağlar。
### 核心功能
* **实时网络分析:** 识别活动连接、开放端口及关联进程(PID),以检测未授权数据外泄或 C2(命令与控制)通信。
* **持久化检测:** 扫描计划任务(`cron` 任务),发现隐藏的恶意软件持久化机制。
* **易失性内存(RAM)分析:** 隔离并列出占用内存最高的进程,帮助检测无文件(fileless)恶意软件。
* **浏览器钓鱼分析:** 通过绕过 SQLite 数据库锁,安全提取最近的 Firefox 浏览历史(支持 Snap 和传统 `.deb` 安装方式)。
* **USB 数据外泄追踪:** 解析内核日志(`dmesg`),识别最近连接的 USB 存储设备(制造商、产品和序列号),以检测未授权数据窃取和内部威胁。
* **加密封存:** 自动将取证结果导出为带时间戳的文本报告,并生成对应的 **SHA-256 哈希封存**,以加密方式证明证据完整性。
## 前置条件
运行工具前,请确保已在 Ubuntu 系统中安装必要的编译器和库:
```
sudo apt update
sudo apt install g++ cmake sqlite3 python3-tk -y
```
## 安装与使用
1. **克隆仓库:**
git clone https://github.com/cagatay005/AdliMudahele.git
cd AdliMudahele
2. **赋予执行权限:**
chmod +x calistir.sh
3. **运行工具(建议获取 Root 权限以读取 USB 日志):**
sudo ./calistir.sh
*该脚本将自动使用 CMake 编译 C++ 后端并启动 Python GUI。*
## 项目架构
```
AdliMudahele/
├── bin/ # Compiled C++ executable / Derlenmiş C++ motoru
├── core/ # C++ Backend Engine (Heavy Lifting) / C++ Arka Plan Motoru
│ ├── include/ # Header (.h) files / Başlık dosyaları
│ └── src/ # Source (.cpp) files / Kaynak dosyaları
├── gui/ # Python Frontend / Python Arayüzü
│ └── arayuz.py # Tkinter Matrix UI / Tkinter Arayüz Kodu
├── veri/ # Exported Forensics Reports & SHA-256 Seals / Raporlar ve Mühürler
├── CMakeLists.txt # Build configuration / Derleme yapılandırması
└── calistir.sh # Automation & Execution script / Otomasyon betiği
```
## 证据链与验证
在 GUI 中点击 **"RAPORU KAYDET VE MUHURLE"** 按钮后,工具将在 `veri/` 目录下输出两个文件:`delil.txt`(原始报告)和 `delil.sha256`(哈希封存)。要验证证据完整性,请运行:
```
cd veri
sha256sum -c delil.sha256
```
*(预期输出:`delil.txt: OK`)*
## 免责声明
*本工具专为教育和专业数字取证与事件响应(DFIR)目的而开发。开发者对本软件的任何滥用行为不承担任何责任。*  
标签:Bash脚本, C++, C2检测, C++后端, DAST, DFIR工具, HTTP工具, HTTP请求, Incident Response, IP 地址批量处理, Linux取证, meg, Python GUI, Python前端, SecList, SQLite, Tkinter, Tkinter GUI, Ubuntu工具, USB日志, 信息安全, 内存取证, 取证工具, 取证报告, 后渗透, 哈希链, 库, 应急响应, 恶意软件分析, 持久化检测, 插件系统, 数字取证, 数据外泄检测, 数据擦除, 无线安全, 浏览器历史, 电子取证, 矩阵主题, 系统快照, 网络安全审计, 自动化脚本, 逆向工具