QuantumParadox/MIRANDA

# MIRANDA **一个本地优先、完全离线的数字取证与事件响应 (DFIR) 平台。** MIRANDA 是一款用于恢复数据、调查受损设备以及帮助被攻击目标的防御性安全 工具。它完全在本地硬件上运行，没有云端依赖，因此证据绝不会离开本机。 ## 功能特性 - **数字取证与数据恢复**。针对磁盘和内存镜像进行分析，包括证据分析、 时间线重建以及丢失或隐藏数据的恢复。 - **移动间谍软件检测**。使用公开的 Amnesty International 数据集扫描雇佣间谍软件的 入侵指标 (IOC)，包括 Pegasus、Predator/Cytrox 以及 NoviSpy。这是一种受害者端检测，旨在帮助人们在自己的 设备上发现间谍软件。 - **事件响应分诊**。日志分析、入侵检测 (Suricata) 告警审查， 以及超级时间线重建。 - **防御性漏洞评估**。针对操作者自身及明确授权的 系统进行。仅限检测和报告。不包含漏洞利用，无攻击性工具。 - **防篡改结果**。调查结果可封装在带有签名、可自我验证的证明 链中（SHA-256、Ed25519 签名、哈希链时间戳），以便稍后检查结论 并证明其未被篡改。这支持监管链，但不能替代监管链。 - **检索增强的案件记忆**。MIRANDA 处理的文本可以在本地进行嵌入， 并在跨会话调用时提供引用，采用透明的价值与新颖性策略， 使其仅学习具有真正取证信号的内容。 ## 设计原则 - **离线优先**。取证路径中无云端调用。适用于气隙隔离环境。 - **防御性与保护受害者**。目标是恢复、检测和保护。 - **默认诚实**。如果组件是基于启发式或未经证实的，它会明确说明。没有 自诩的“100% 完成”声明。 - **可复现**。一切都在本地硬件上运行，提供可衡量、可重复的结果。 ## 创新方法（专利申请中） MIRANDA 包含多项由美国临时申请 64/088,632 涵盖的原创方法： 1. 通过多快照空闲空间差异分析进行隐藏卷检测。 2. 通过拓扑特征进行隐藏卷检测。 3. 一种加密与压缩数据鉴别器。 4. **Simmonds 对抗性共识**，一种使用多个 AI 模型作为彼此的 对抗性审查者，以捕获具有共性的自信错误的方法。 这些方法的完整算法并未在此发布。本代码库仅包含 文档和选定的外围组件。 ## 代码库内容 这是该项目向公众开放的源代码视图。它是有意选取的一个子集。 正在申请专利的方法本身并未在此发布。 - `README.md` — 本概述。 - `NOTICE.md` — 版权、专利和使用声明。 - `forensic_signal_scoring.py` — MIRANDA 案件记忆中一个可运行的组件。它对 文本的取证信号（哈希、CVE、MITRE 技术 ID、指标、发现语言）进行评分， 以便系统仅学习值得保留的内容。 - `proof_carrying_verdict.py` — MIRANDA 防篡改 判定的可运行演示。一个结论及其输入会被签名，然后 在离线状态下重新验证。仅改变一个 值就会将结果从 VERIFIED（已验证）变为 TAMPERED（已篡改）。 ### 运行示例 这两个示例均在 Python 3.9 或更高版本上运行。 ``` python forensic_signal_scoring.py python proof_carrying_verdict.py ``` `forensic_signal_scoring.py` 仅使用标准库。`proof_carrying_verdict.py` 在安装了 `cryptography` 包（`pip install cryptography`）时 使用真实的 Ed25519 签名， 否则将退回到带有清晰标注的演示模式，因此 无论哪种情况它都能运行。 ## 关于 由 James Christopher Simmonds (纽约州罗切斯特) 构建。具备美国陆军情报、 数字取证和应用机器学习背景。 如需协作或有疑问，请在此代码库中提一个 issue。

标签：CVE, Metaprompt, 库, 应急响应, 数字取证, 数字签名, 数据恢复, 自动化脚本, 逆向工具