Devzinh/GhostTrace

# GhostTrace 

为什么选择 GhostTrace • 流程 • 快速使用 • 覆盖范围 • 安全性

你点击了*卸载*。Windows 说已经卸载了。软件也说了再见。 但那个进程依然存在于注册表、文件夹、预读取、计划任务、RDP 历史记录、WMI 中—— 没错。它并没有被卸载。 **GhostTrace 就是那个不见证据绝不接受“已卸载”的家伙。** 22 个取证模块，一次扫描，清晰的表格，废话不多说。 ## 演示  ## 下载

| 文件 | 描述 | | --- | --- | | `GhostTrace--x64.msi` | Windows x64 安装程序 | ## 为什么选择 GhostTrace 其他扫描器的问题是：要么太慢，要么扔给你一份 4000 行的日志然后让你自己看着办。 GhostTrace 不会。 - **快速** — 一次扫描涵盖数十种取证技术。不用苦等进度条假装在工作。 - **清晰** — 结果呈现在单张表格中。这不是侦探游戏，这是专业工具。 - **安全** — 默认只读。除非你明确大写输入“YES”，否则不会删除任何内容。 - **可审计** — 每次清理都会生成日志。一切都有据可查。 - **离线** — 零遥测。零上传。零“发送到云端”。你的电脑，你做主。 ## 调查流程  ``` voce: "quero investigar o nvidia" GhostTrace: OK watch this -> aciona 22 modulos forenses -> monta tabela com tudo que encontrou -> pergunta se voce quer limpar -> se sim: confirma, remove, gera log -> se nao: te devolve os dados e tchau -> opcional: exporta relatorio TXT ``` 没有魔法。没有瞎猜。只有具备良好用户体验的取证。 ## 安装与快速使用 ``` GhostTrace.CLI # menu interativo (precisa de admin, nao questiona) GhostTrace.CLI scan --name nvidia # caca ao nvidia, limpeza opcional GhostTrace.CLI scan --name nvidia --quiet --output C:\Cases\Host1 GhostTrace.CLI scan # triagem completa, sem filtro GhostTrace.CLI scan-fs-json GhostTrace.CLI scan-reg-json GhostTrace.CLI scan-evt-json ``` 需要 UAC 权限，因为它会读取普通用户无法访问的系统区域。 这不是矫情。而是必须的。 如果你想标新立异，可以强制指定语言： ``` GhostTrace.CLI --lang es GhostTrace.CLI scan --name nvidia --lang en ``` ## 取证覆盖范围  22 个模块。每一个都是同一场调查中不同领域的专家。 没有任何一个会缺席犯罪现场。 ### 持久化 (MITRE ATT&CK TA0003) | 模块 | 调查内容 | | --- | --- | | `PersistenceScanModule` | Run/RunOnce 键 + Startup 文件夹 | | `ServicesScanModule` | 具有可疑 ImagePath 的服务和驱动 (T1543.003) | | `AsepScanModule` | Winlogon, IFEO debugger, AppInit_DLLs, LSA packages, Active Setup | | `ScheduledTasksScanModule` | 通过 Task Scheduler 的 COM API 查找计划任务 | | `TaskCacheScanModule` | TaskCache\Tree 中的异常，包括 Ghost Tasks (T1053.005) | | `WmiPersistenceScanModule` | __EventFilter, __EventConsumer 及其绑定 (T1546.003) | ### 执行证据 (TA0002) | 模块 | 调查内容 | | --- | --- | | `ShimcacheScanModule` | AppCompatcache (适用于 Win8.1/10/11 的 10ts 格式) | | `PrefetchScanModule` | 解码 XPRESS-Huffman 的 .pf 文件 (版本 26/30/31) | | `BamScanModule` | 每个 SID 的 BAM/DAM 最后执行时间 | | `UserAssistScanModule` | GUI 程序启动记录，包含计数和最后运行时间 (ROT13) | | `MuiCacheScanModule` | Shell 的 MUICache 和内置友好名称 | ### 用户活动与系统工件 | 模块 | 调查内容 | | --- | --- | | `PowerShellHistoryScanModule` | PSReadLine 历史记录以及下载 cradle/编码 payload 的迹象 (T1059.001) | | `RdpConnectionScanModule` | 出站 RDP 连接历史及用户线索 (T1021.001) | | `RecentDocsScanModule` | 每个用户的最近文件/文件夹 (Explorer RecentDocs) | | `UsbDeviceScanModule` | 通过 USBSTOR 获取的可移动设备历史 (T1052/T1091) | | `NetworkArtifactsScanModule` | hosts 中的重定向及带有日期的已连接网络 | ### 已安装软件与磁盘残留 | 模块 | 调查内容 | | --- | --- | | `UninstallEntriesScanModule` | 已安装的程序、版本、发布者、位置和卸载字符串 | | `StartupApprovedScanModule` | 启动项的启用/禁用状态 | | `FileSystemTraceScanModule` | 基于名称在 Program Files, ProgramData 和 AppData 中进行搜索 | ### 定向收集器 (per-target) | 模块 | 调查内容 | | --- | --- | | `FilesystemScanModule` | 某目录下的文件元数据 | | `RegistryScanModule` | 某注册表键下的值 | | `EventLogScanModule` | Application/System 日志的近期条目 | ## 取证安全 没有惊吓。没有“哎呀不小心删了”。 - **只读扫描** — 只查看。不碰任何东西。 - **同意后清理** — 只有在你输入“YES”后才会删除。没有隐式确认，没有误触风险。 - **受保护的证据** — 执行缓存和历史记录会被排除在清理范围之外。绝不销毁证据。 - **完全离线** — 没有网络请求。没有遥测。Wireshark 里也不会有任何意外。 - **可疑信号不等于定罪** — 它提供的是用于分析的数据，而非自动判决。由你来调查，由你来决定。 ## 语言 (I18N) 就像流媒体和游戏一样：自动检测系统语言并以该语言启动。 如果系统是葡萄牙语，它就是葡萄牙语。如果系统不支持，则回退到英语。就这么简单。 可用语言： - English (en-US) - Portugues Brasil (pt-BR) - Espanol (es-ES) ## Playbooks 与文档 - [Scheduled Tasks Correlation Playbook](docs/playbooks/scheduled-tasks-correlation.md) — Ghost Tasks 调查及注册表篡改。 ## License This project is licensed under the MIT License. See the `LICENSE` file for details. **如果你的目标是“我想知道到底真正残留了什么，而不是凭空猜测”：** GhostTrace 就是你的不二之选。严肃的项目。现代的界面。零废话。

标签：IPv6支持, 恶意软件追踪, 数字取证, 注册表分析, 知识库安全, 端点可见性, 自动化脚本