reactivheat/reverse-forensic-tools

GitHub: reactivheat/reverse-forensic-tools

一款模块化的 Python CLI 数字取证与逆向工程工具包,为安全分析师提供从文件识别到内存、磁盘、网络取证的一站式调查环境。

Stars: 0 | Forks: 0

Reverse Forensic Tools Banner

逆向取证工具

用于逆向工程、数字取证、 恶意软件分析和应急响应的生产级 CLI 工具包。

![Python](https://img.shields.io/badge/Python-3.10+-blue.svg) ![Platform](https://img.shields.io/badge/Platform-Linux-success.svg) ![License](https://img.shields.io/badge/License-MIT-green.svg) ![Status](https://img.shields.io/badge/Status-Active-orange.svg) ![CLI](https://img.shields.io/badge/Interface-CLI-purple.svg) # 🔍 逆向取证工具

**Operator Cedra 逆向取证工具包** 用于逆向工程、数字取证、恶意软件分析和应急响应的生产级 CLI 工具包。 使用 ❤️ 和 Python 构建。

## 📖 概述 逆向取证工具是一个模块化的命令行工具包,专为网络安全专业人员、SOC 分析师、DFIR 调查员、恶意软件分析师以及需要一个统一环境来进行逆向工程和数字取证调查的学生而设计。 该项目致力于提供具有清晰架构、模块化组件、Rich CLI 输出以及 Linux 优先兼容性的生产级取证实用工具。 ## ✨ 功能 ### ✅ 实用工具 - 文件哈希计算器 - MD5 - SHA1 - SHA256 - 文件识别 - Magic Bytes 检测 - MIME 类型检测 - Hex Dump 查看器 - Rich CLI 渲染 - 导出到文件 - 可配置输出 ### 🚧 逆向工程 - PE 头分析 - ELF 头分析 - Import Table 解析器 - Export Table 解析器 - 节分析 - 二进制熵 - 字符串提取 - Capstone 反汇编器 - Ghidra 集成 - Radare2 集成 ### 🚧 恶意软件分析 - YARA 扫描器 - 熵分析 - 可疑字符串 - IOC 提取 - Packers 检测 ### 🚧 内存取证 - Volatility3 集成 计划功能: - 进程列表 - DLL 列表 - 句柄 - 网络连接 - 内存转储分析 ### 🚧 磁盘取证 - NTFS 分析 - MFT 解析器 - 时间线生成 - 已删除文件检测 ### 🚧 网络取证 - PCAP 解析器 - 流量分析 - IOC 检测 - 协议统计 ### 🚧 日志分析 - Windows 事件日志 - Linux Syslog - 认证日志 - SSH 检测 - 暴力破解检测 - 时间线生成 ## 📁 项目结构 ``` reverse-forensic-tools/ │ ├── config/ │ ├── config.yaml │ ├── rules/ │ └── templates/ │ ├── data/ │ ├── output/ │ └── samples/ │ ├── docs/ │ ├── results/ │ ├── scripts/ │ ├── src/ │ ├── core/ │ ├── forensic/ │ ├── reverse_engineering/ │ ├── utils/ │ └── tests/ │ ├── requirements.txt ├── requirements-dev.txt ├── setup.py ├── pyproject.toml └── Makefile ``` # 🚀 安装说明 克隆仓库 ``` git clone https://github.com/reactivheat/reverse-forensic-tools.git cd reverse-forensic-tools ``` 创建虚拟环境 ``` python -m venv .venv ``` 激活 Windows ``` .venv\Scripts\activate ``` Linux ``` source .venv/bin/activate ``` 安装依赖 ``` pip install -r requirements.txt ``` 开发依赖 ``` pip install -r requirements-dev.txt ``` # ⚡ 使用方法 文件哈希 ``` python -m src.core.cli hash sample.exe ``` 识别文件 ``` python -m src.core.cli identify sample.exe ``` Hex Dump ``` python -m src.core.cli hexdump sample.exe ``` # 🛠 技术栈 Python 3.10+ 库 - Rich - PyYAML - pefile - pyelftools - capstone - keystone-engine - yara-python - volatility3 - scapy - pandas - numpy - python-magic # 📌 路线图 ## 阶段 1 - [x] 项目结构 - [x] 哈希计算器 - [x] 文件识别器 - [x] Hex Dump 查看器 - [x] 配置管理器 - [x] 日志记录器 - [x] CLI ## 阶段 2 - [ ] PE 解析器 - [ ] ELF 解析器 - [ ] Import 解析器 - [ ] Export 解析器 ## 阶段 3 - [ ] Capstone 反汇编器 - [ ] 二进制熵 - [ ] 字符串提取 - [ ] YARA 扫描器 ## 阶段 4 - [ ] 内存取证 - [ ] 磁盘取证 - [ ] 网络取证 ## 阶段 5 - [ ] Ghidra 集成 - [ ] Radare2 集成 - [ ] 报告生成器 # 🎯 目标用户 - SOC 分析师 - DFIR 分析师 - 恶意软件分析师 - 逆向工程师 - 渗透测试人员 - 蓝队 - 网络安全学生 # 📜 许可证 本项目基于 MIT 许可证授权。 # 👨‍💻 作者 Operator Cedra GitHub https://github.com/reactivheat # ⭐ 支持 如果您觉得这个项目有用,请考虑在 GitHub 上给它点一个 ⭐。 这有助于项目的发展,并为未来的开发提供动力。
标签:DAST, DNS 反向解析, Python, 云资产清单, 库, 应急响应, 恶意代码分类, 恶意软件分析, 搜索语句(dork), 数字取证, 无后门, 红队行动, 自动化脚本, 逆向工具, 逆向工程