monster8d/SessionHunter

GitHub: monster8d/SessionHunter

SessionHunter 是一款企业级数字取证与事件响应平台,通过 SSH 远程采集主机日志并重建统一的用户活动取证时间线。

Stars: 1 | Forks: 0

#

SessionHunter 横幅

Platform Build Type UI Framework License

## 🔍 什么是 SessionHunter? **SessionHunter** 是一款高级的独立桌面取证控制台,使用 **PyQt6** 和 **HTML5/JS** 构建。它通过单一的 **SSH 传输**以无代理(或通过轻量级代理)的方式连接到远程 Linux 和 Windows 服务器,以重建全面、统一的用户活动取证时间线:**谁**登录了,他们输入了**什么**,**从哪里**登录,以及**何时**登录。 所有日志都会自动标准化到本地 SQLite 数据库中,与离线/在线 GeoIP 数据库进行比对解析,并在充满未来感的 HUD 风格界面中呈现。 为了保护知识产权并确保凭证的安全存储,**该应用程序严格以预编译的原生机器二进制文件**(`.exe`、`.deb` 和便携版格式)形式分发。不分发任何 Python 源代码。 ## ✨ 核心功能 * **统一取证时间线**:将身份验证日志、终端命令、进程执行和会话活动关联到一个按时间顺序排列的单一视图中。 * **双模式采集**: * *无代理*:在目标主机上零痕迹。按需拉取并解析日志文件。 * *代理辅助*:一键复制粘贴命令即可安装轻量级、防篡改的采集器脚本,以捕获实时执行流。 * **未来感 HUD UI**:深色主题、霓虹风格的 PyQt6 窗口,内嵌高级的 QtWebEngine 仪表板、交互式地图(使用 Leaflet/OSM)以及会话流程图。 * **操作系统自动检测**:自动检测主机操作系统、日志文件位置,并计算时钟偏移量。 * **深度地理位置定位**:集成本地 MaxMind GeoLite2-City 数据库和在线 GeoIP API,自动映射日志源 IP。 * **安全凭证库**:使用 **OS Keyring**(Windows 凭据管理器 / Keychain)或由主密码保护的本地 **AES-256-Fernet 凭证库**对目标凭证进行加密。 ## 📸 界面与功能展示 ### 📊 主仪表板与事件时间线 核心时间线界面实时关联事件。它具有主机状态卡片、霓虹分段导航栏和高对比度的时间线日志。

Main Dashboard Timeline

### 🗺️ GeoIP 调查地图 使用 Leaflet 地图可视化登录位置。标记根据地理位置数据(城市/国家)进行聚类,以帮助安全团队立即识别异常位置。

GeoIP Investigation Map

### 🛠️ 实时取证工具包 允许直接在已连接的 endpoint 上执行运行时查询。在此菜单中,用户可以执行专门的命令来检查文件、包和网络状态。

Live Forensic Toolkit

### 📂 取证详情模块 深入分析主机配置、文件修改、已安装的包和网络状态:

Forensics File Modifications Forensics Installed Packages

### ⚙️ 上下文分析菜单 安全团队可以右键单击任何事件,以启动专用的查询流程,如反向 DNS、操作者历史记录和上下文命令跟踪。

Event Investigation Menu Network Forensics Menu

## 🚀 下载并运行 SessionHunter 所有官方版本均在 **GitHub Releases** 部分分发。请为您的平台下载合适的包: ### 🪟 Windows 安装版与便携版 * **Windows 安装程序 (`SessionHunter-v1.0.0-Windows-Setup.exe`)**:标准安装向导,在 `Program Files` 下设置 SessionHunter 并创建桌面快捷方式。 * **便携版二进制文件 (`SessionHunter-v1.0.0-Windows-Portable.exe`)**:独立、免安装的可执行文件。只需双击即可从任何位置(USB 驱动器、桌面等)运行。 * **Zip 压缩包 (`SessionHunter-v1.0.0-Windows-x64.zip`)**:可手动部署的文件夹结构,包含所有依赖项。 ### 🐧 Linux 版本 (Debian / Ubuntu / 通用 x64) ( 即将推出! ) * **Debian 软件包 (`SessionHunter-v1.0.0-Linux-amd64.deb`)**:使用以下命令进行全系统安装: sudo dpkg -i SessionHunter-v1.0.0-Linux-amd64.deb * **便携版二进制文件 (`SessionHunter-v1.0.0-Linux-x64-Portable`)**:独立二进制文件——赋予其可执行权限后即可直接运行: chmod +x SessionHunter-v1.0.0-Linux-x64-Portable ./SessionHunter-v1.0.0-Linux-x64-Portable * **Tarball 压缩包 (`SessionHunter-v1.0.0-Linux-x64.tar.gz`)**:解压并运行手动部署。 ## 🛠️ 架构流程 ``` graph TD UI[PyQt6 HUD Dashboard] <--> |QWebChannel Bridge| JS[HTML5/Leaflet Frontend] UI <--> |Local Read/Write| DB[(SQLite Database WAL Mode)] UI <--> |Auth / Decryption| Vault[(AES-256 Credentials Vault)] UI --> |Spawn QThread Workers| Sched[Polling Scheduler] Sched --> |QThread Loops| Worker[SSH Worker Threads] Worker --> |Secure Transport| Target((Remote Server Linux/Windows)) Target --> |Logs / Agent Output| Worker Worker --> |Normalize Events| UI ``` ## 🛡️ 许可与授权 这是一款安全审计和取证工具。请确保您已获得**明确授权**,可以连接并审计您在控制台中注册的任何主机。严禁未经授权监控主机。
标签:PyQt6, 子域名变形, 库, 应急响应, 数字取证, 数据可视化, 自动化脚本, 运维监控, 逆向工具