PranjalShridhar316/SlowPro

 # SlowPro 🐢 由 **Pranjal Shridhar Verma** 开发 **多发行版 Linux DFIR 框架** SlowPro 是一个轻量级的 Linux 数字取证与事件响应（DFIR）框架，完全使用 Bash 编写。 它可以自动化执行证据收集、完整性校验、IOC 检测、威胁评分、时间线生成、HTML 报告以及跨多种 Linux 发行版的快照对比。 ## 功能 ### 证据收集 * 主机信息收集 * 用户枚举 * 运行进程收集 * 网络连接收集 * 服务枚举 * 已安装软件包收集 * 收集元数据生成 ### 分析 * IOC 检测 * 威胁评分 * 时间线重建 * 快照对比 ### 报告 * HTML 调查报告 * IOC 报告 * 时间线报告 * 威胁评分报告 ### 完整性 * 已收集证据的 SHA256 哈希校验 ### 多发行版支持 支持的发行版： * Ubuntu * Debian * Kali Linux * RHEL * Rocky Linux * AlmaLinux * Arch Linux # 项目结构 ``` SlowPro/ ├── adapters/ ├── analyzers/ ├── assets/ ├── cases/ ├── collectors/ ├── commands/ ├── core/ ├── data/ ├── docs/ ├── reports/ ├── tests/ └── slowpro.sh ``` # 环境要求 * Bash * sudo 权限 * Linux 环境 推荐： * Ubuntu * Kali Linux * WSL2 * 基于 RHEL 的系统 # 安装说明 克隆仓库： ``` git clone https://github.com/PranjalShridhar316/SlowPro.git cd SlowPro ``` 赋予可执行权限： ``` chmod +x slowpro.sh ``` # 运行 SlowPro 启动新调查： ``` sudo ./slowpro.sh ``` 示例： ``` sudo ./slowpro.sh ``` 输出： ``` [INFO] Creating investigation case... [SUCCESS] Case created: cases/CASE_2026-06-14_04-03-56 ``` # 调查案例 列出可用案例： ``` ls cases ``` 最新案例： ``` LATEST=$(ls -td cases/CASE_* | head -1) echo "$LATEST" ``` # 查看已收集的证据 查看案例结构： ``` tree "$LATEST" ``` 仅查看 artifacts： ``` tree "$LATEST/artifacts" ``` ## 主机信息 ``` cat "$LATEST/artifacts/host/host.json" ``` ## 用户 ``` cat "$LATEST/artifacts/users/users.json" ``` 前 10 条记录： ``` head "$LATEST/artifacts/users/users.json" ``` ## 进程 ``` cat "$LATEST/artifacts/processes/processes.json" ``` 前 10 条记录： ``` head "$LATEST/artifacts/processes/processes.json" ``` ## 网络连接 ``` cat "$LATEST/artifacts/network/network.txt" ``` ## 服务 ``` cat "$LATEST/artifacts/services/services.txt" ``` ## 已安装的软件包 ``` cat "$LATEST/artifacts/packages/packages.txt" ``` # 完整性验证 查看证据哈希值： ``` cat "$LATEST/integrity/hashes.txt" ``` 示例： ``` SHA256 HASH -> host.json SHA256 HASH -> users.json SHA256 HASH -> processes.json ``` # IOC 分析 查看 IOC 报告： ``` cat "$LATEST/analysis/ioc_report.txt" ``` 示例： ``` ================================== SlowPro IOC Report ================================== [Suspicious Users] [Suspicious Processes] [Suspicious Ports] ``` # 威胁评分 查看威胁评分： ``` cat "$LATEST/analysis/threat_score.txt" ``` # 时间线重建 查看时间线： ``` cat "$LATEST/analysis/timeline.txt" ``` 示例： ``` Case Created Host Collection Completed IOC Analysis Completed Threat Scoring Completed ``` # 收集元数据 查看收集元数据： ``` cat "$LATEST/analysis/collection_metadata.json" ``` # HTML 报告 在执行期间自动生成报告。 打开最新报告： ``` LATEST=$(ls -td cases/CASE_* | head -1) cmd.exe /c start "$(wslpath -w "$LATEST/reports/report.html")" ``` # 快照对比 对比两次调查： ``` sudo ./slowpro.sh --compare \ cases/CASE_1 \ cases/CASE_2 ``` 示例： ``` sudo ./slowpro.sh --compare \ cases/CASE_2026-06-14_02-27-21 \ cases/CASE_2026-06-14_02-56-54 ``` 输出： ``` ================================== SlowPro Comparison Report ================================== [New Users] [New Processes] /usr/lib/polkit-1/polkitd [New Listening Ports] ``` # 输出位置 ``` cases/ └── CASE_xxxxx ├── analysis/ ├── archive/ ├── artifacts/ ├── integrity/ └── reports/ ``` # 路线图 ## 版本 1.1 * 身份验证日志分析 * 失败登录检测 * SSH 活动追踪 * IOC Feed 集成 ## 版本 1.2 * MITRE ATT&CK 映射 * YARA 规则扫描 * Sigma 规则支持 ## 版本 2.0 * 内存收集 * 容器取证 * 实时响应模块 * PDF 报告 # 许可证 MIT 许可证 # 作者 **Pranjal Shridhar Verma** 学生 | Linux 管理员 | RHCSA 候选人 | 网络安全爱好者 SlowPro 作为一个实践性的数字取证与事件响应（DFIR）项目进行开发，旨在加强以下方面的实践技能： * Linux 管理 * Bash 脚本编写 * 事件响应 * 威胁狩猎 * 数字取证 * 安全自动化 该项目专注于使用 Linux 原生工具和 Bash 构建 DFIR 能力，同时保持跨多种 Linux 发行版的兼容性。 ## 贡献者 - [Pranjal Shridhar Verma](https://github.com/PranjalShridhar316) – 项目负责人 - Ashita Dhiman – 横幅设计 ## LICENSE 

标签：AMSI绕过, Bash, HTTP工具, Mr. Robot, 威胁检测, 库, 应急响应, 应用安全, 数字取证, 无线安全, 自动化取证, 自动化脚本