SecurityRonin/snapshot-forensic

# 快照取证 [](LICENSE) [](https://github.com/sponsors/h4x0r) **从快照与备份格式中进行时间维度的文件系统重建 —— 这是一个无 panic 的快照/备份容器（APFS 快照、Time Machine、btrfs、VSS 相关影子副本、企业级备份镜像）读取器，同时也是一个分级异常分析器，能够标记出损坏的链、被篡改日期的还原点，以及跨备份世代的完整性哈希不匹配问题。** **状态：** 早期脚手架阶段 —— 格式研究已完成（见文档），解析器正在构建中。 `snapshot-forensic` 是 SecurityRonin 取证工具集中计划中的 `[P^H]` 磁盘历史层。基础磁盘路径通过路径导航单一文件系统状态，而磁盘历史层则将其提升为*基于时间索引*的状态集合 —— 即由快照和备份容器捕获的还原点 —— 从而重建文件系统在每个时间点上的样貌，并暴露出常规读取可能会遗漏的时间与完整性异常。 ## 双 crate 分离架构 本工作区遵循工具集的读取器/分析器标准： | Crate | 职责 | 依赖于 | 输出 | |---|---|---|---| | `snapshot-core` | 读取器 / 解码器 (`[lib] name = "snapshot"`) | `thiserror` | 已解码的还原点（时间索引） | | `snapshot-forensic` | 异常分析器 | `snapshot-core`, `forensicnomicon` | 分级的 `Finding` | 读取器保持纯粹 —— 它只解码字节，不做出任何判断。所有*取证含义*都存在于分析器中，分析器是已解码记录的无副作用函数，因此它可以直接放入工具集的 `Report` 中，与其他任何工件层并列。Finding 只是观察结果，而不是最终定论 —— 得出结论的是分析师本人。 ## 路线图 指导设计工作的格式研究已在 [`docs/FORMAT_REFERENCE.md`](docs/FORMAT_REFERENCE.md) 中完成。预期的构建顺序如下，优先级从高到低 —— 以下所有格式均处于**规划中**状态，尚未交付任何解码逻辑： | 级别 | 格式（规划中） | 状态 | |---|---|---| | 级别 1 | E01 / Ex01, VMDK, VHD / VHDX, QCOW2, raw / dd, iOS backup | 规划中 | | 级别 2 | VirtualBox VDI, AFF4, Proxmox VMA, Android ADB, tar / cpio, OCI image layers, DMG | 规划中 | | 级别 3 | Acronis TIB / TIBX, Veeam VBK, AD1, L01 / Lx01, MTF / BKF, mobile backups, Synology HBK, Datto | 规划中 | | 级别 4（仅 API） | Cohesity, Rubrik, NetApp WAFL / SnapMirror, Commvault, iCloud | 规划中 | ## 信任但验证 工具集的强化标准从第一个解析器提交起便开始适用：两个 crate 均为 `#![forbid(unsafe_code)]`，在面对攻击者可控的输入时将做到无 panic，通过 `cargo-fuzz` 进行模糊测试，并对照真实工件和独立的检验基准进行验证。快照和备份容器属于不受信任、可被攻击者控制的输入，因此这些 crate 在设计上就具备了结构性的安全强化。 ## 文档 完整的格式研究、统一 trait 设计以及计划中的架构位于 [`docs/FORMAT_REFERENCE.md`](docs/FORMAT_REFERENCE.md) 中。MkDocs 站点已发布至 GitHub Pages。 [隐私政策](https://securityronin.github.io/snapshot-forensic/privacy/) · [服务条款](https://securityronin.github.io/snapshot-forensic/terms/) · © 2026 Security Ronin Ltd

标签：Rust, 可视化界面, 异常分析, 快照与备份, 数字取证, 文件系统, 网络流量审计, 自动化脚本, 通知系统