alpha-01-cyber/ABYSS-DFIR-Toolkit

# ABYSS - 高级浏览器与系统性能监控 **适用于 Windows 的先进数字取证和事件响应 (DFIR) 工具包** ABYSS 是一款针对 Windows 系统设计的综合数字取证工具包，旨在进行深度智能合成和证据提取。它为取证调查提供了图形用户界面 (GUI) 和命令行界面 (CLI)。 ## 工具概述 ABYSS 允许取证调查员从多个来源提取、分析和保存数字证据，包括网络浏览器、系统证据和易失性内存。该工具通过加密签名和哈希验证维护证据链。 ### 关键功能 - **浏览器历史提取**：支持 Chrome、Edge、Brave、Opera、Vivaldi 和 Firefox，并对便携式安装进行深度扫描 - **记事本标签恢复**：从二进制文件中恢复未保存的 Windows 11 记事本标签 - **系统配置**：收集包括已安装软件、网络配置和用户帐户在内的综合系统信息 - **数字签名验证**：使用签名验证对案例元数据进行加密锁定 - **证据链**：对所有提取的证据自动记录哈希日志 - **情报生成**：自动进行用户画像分析和关联报告 - **已删除数据恢复**：Lazarus 模块用于从 SQLite 自由列表中刻录已删除的 URL - **区域标识符检测**：通过 NTFS 交替数据流识别下载的文件 - **双接口**：提供 GUI（main.py）和 CLI（abyss.py）版本 ## 安装说明 ### 系统要求 - **操作系统**：Windows 10 或 Windows 11 - **Python 版本**：Python 3.10 或更高版本 - **管理员权限**：要求完整功能（VSS 恢复、注册表访问） ### 依赖项 ### 依赖项 使用项目依赖文件安装所有必需的取证和 UI 包： ``` pip install -r requirements.txt ### 环境设置 1. Clone or download the ABYSS repository 2. Navigate to the project directory 3. Install dependencies using the command above 4. Ensure the `modules` folder is present with all required module files ## 执行步骤 ### GUI 版本（main.py） Run the graphical interface: ```bash python main.py ``` **GUI 工作流程：** 1. 启动应用程序 2. 选择“新建调查”或“打开现有报告” 3. 对于新建调查： - 输入案例 ID（格式：ABYSS-YYYYMMDD-XXX） - 提供调查员姓名、机构和数字签名 - 选择提取向量（浏览器、记事本、操作系统内存） - 点击“启动协议”开始提取 4. 对于现有报告： - 输入报告路径和数字签名 - 点击“打开报告”加载案例 5. 在证据库和情报标签中查看结果 ### CLI 版本（abyss.py） 运行命令行界面： ``` python abyss.py ``` **CLI 工作流程：** 1. 工具显示 ABYSS ASCII 艺术标题 2. 以 ABYSS-YYYYMMDD-XXX 格式输入案例 ID 3. 提供调查员姓名、机构和数字签名 4. 主机名自动检测（可修改） 5. 选择输出路径（默认：reports） 6. 输入案例描述 7. 选择提取向量（1=浏览器，2=记事本，3=操作系统，4=全部） 8. 实时监控提取日志 9. 完成后显示报告位置 ## 平台兼容性 - **支持的平台**：Windows 10、Windows 11 - **Python 支持**：Python 3.10+ - **架构**：x64（64 位） ## 故障排除 ### 常见问题 **问题：权限拒绝错误** - **解决方案**：以管理员身份运行应用程序 - **原因**：某些操作需要提升权限（注册表访问、VSS 恢复） **问题：数据库锁定** - **解决方案**：在运行提取之前关闭所有浏览器实例 - **注意**：如果数据库被锁定，ABYSS 尝试 VSS 影子副本恢复 **问题：导入错误** - **解决方案**：确保使用 pip 安装所有依赖项 - **检查**：请确保 Python 版本为 3.10 或更高 **问题：签名验证失败** - **解决方案**：确保数字签名与创建案例时使用的签名匹配 - **注意**：没有签名.txt 的旧报告将允许带有警告的访问 **问题：结果为空** - **解决方案**：验证浏览器历史文件是否存在于标准位置 - **检查**：请确保用户有浏览器历史记录以提取 **问题：CLI 中的编码错误** - **解决方案**：CLI 现在包括针对 Windows 的 UTF-8 编码修复 - **注意**：如果问题仍然存在，请尝试在 PowerShell 中而不是 CMD 中运行 ### 性能优化 如果应用程序在打开大文件时延迟： - GUI 已通过较慢的标志动画和较小的预览大小进行优化 - CSV 预览限制为 20 行，以加快加载速度 - 十六进制预览限制为 32KB - 标志动画在主 GUI 加载后禁用 ## 文件结构 ``` ABYSS/ ├── main.py # GUI application entry point ├── abyss.py # CLI application entry point ├── core_case_manager.py # Forensic case management & tracking ├── core_evidence_handler.py # Secure staging & sandbox processing ├── core_security.py # Cryptographic signatures & chain-of-custody ├── requirements.txt # Python package dependencies ├── docs/ │ └── USER_GUIDE.md # User documentation ├── modules/ │ ├── init.py │ ├── analysis_engine.py # Data analytics & processing core │ ├── browser_parser.py # Browser history & artifact extraction │ ├── dns_parser.py # DNS leak detection & network logs │ ├── intelligence_engine.py # User persona analysis & data correlation │ ├── lazarus_module.py # Deleted URL data carving from SQLite free-lists │ ├── mft_parser.py # Master File Table (MFT) analysis │ ├── neural_map.py # Advanced data mapping/relationships │ ├── notepad_parser.py # Windows 11 unsaved Notepad tab recovery │ ├── os_artifacts.py # Operating system artifact extraction │ ├── registry_parser.py # Windows Registry scraping │ ├── report_generator.py # Structured report builder │ ├── system_profiler.py # Hardware, user profile, & network baselining │ ├── utils.py # Shared helper functions │ └── visualizer.py # Data graph & chart rendering engines └── reports/ # Output directory for structured case data ``` ## 输出结构 每个案例生成一个结构化的报告目录： ``` reports/ABYSS-YYYYMMDD-XXX/ ├── Case-Description.txt # Case metadata ├── signature.txt # Digital signature ├── Chain_of_Custody/ │ ├── evidence_hashes.log # SHA-256 hashes │ ├── investigator_audit.log │ └── metadata_signature.bin ├── System/ │ ├── sysinfo.txt │ ├── network_baseline.json │ └── user_profiles.csv ├── Extraction/ │ ├── Browsers/ # Browser artifacts │ ├── Notepad/ # Notepad tabs │ ├── Registry/ # Registry scrapes │ └── DNSRecords/ # DNS leak detection └── Hits/ └── Intelligence/ # Persona reports ``` ## 安全考虑 - 所有源文件在处理之前都复制到临时沙盒中 - 计算并验证 SHA-256 哈希以确保完整性 - 使用加密签名对案例元数据进行签名 - 记录证据哈希以维护证据链 - 提取过程中不修改源文件 ## 许可证 本工具仅限于授权的数字取证调查使用。用户必须遵守所有适用的有关数字取证和隐私的法律和法规。

标签：asyncio, ATT&CK 框架, GUI/CLI 双界面, NTFS 文件系统, Python 开发, SHA-256 签名, SQLite 数据库, Windows 系统分析, 删除数据恢复, 数字取证, 数据恢复, 文档结构分析, 智能分析, 浏览器历史记录分析, 用户账户分析, 系统信息收集, 网络配置分析, 自动化脚本, 证据链管理, 逆向工具