jaradat13/lethe-forensics

# Lethe 取证 Lethe 是一个用于 Linux RAM 转储的轻量级内存取证原型。它被设计为重型框架的一个更小巧、可解释的补充：它扫描原始转储以获取高信号量的进程、网络和模块 artifacts，对异常进行评分，并输出兼容 Orin 的 evidence bundle。 这第一个版本是无需 profile 的。它目前尚不试图取代感知内核符号的对象遍历；每个提取的 artifact 都包含字节偏移量和置信度，以确保输出结果可供审查。 ## 用法 ``` python3 -m lethe_mem scan memory.raw --case-id CASE-001 --output evidence.json ``` 该 bundle 包含： - `processes`：类似进程的命令行、systemd 服务路径以及内核 comm 风格的提示。 - `network_connections`：Linux `/proc/net/tcp*` 风格的行以及在 RAM 中发现的 URL/socket 样字符串。 - `modules`：`.ko` 路径、module basenames 以及 Linux `vermagic` 字符串。 - `anomalies`：基于规则的发现结果，这些结果经过结构化处理，以便未来本地 LLM/小模型可以替换或增强评分器。 ## Roadmap - 添加 LiME 和 AVML 元数据解析。 - 为真正的 `task_struct`、`tcp_sock` 和 `module` 遍历添加可选的 Linux profile/symbol 支持。 - 添加针对 EPROCESS、DRIVER_OBJECT、PE headers 和 pool tags 的 Windows 扫描器。 - 用在已标注的内存 artifact bundle 上训练的本地 embedding/model adapter 替换规则评分器。

标签：Homebrew安装, HTTP工具, JARM, Python, Web报告查看器, 内存分析, 取证, 后渗透, 安全, 库, 应急响应, 无后门, 无线安全, 超时处理, 逆向工具