Sandeep-7981/Digital-Forensics-Artifact-Analyzer

GitHub: Sandeep-7981/Digital-Forensics-Artifact-Analyzer

一款基于 Python 的 DFIR 工具，通过自动化解析 Linux SSH 认证日志来检测威胁、提取 IOC 并生成多格式调查报告。

Stars: 0 | Forks: 0

# 🛡️ 数字取证痕迹分析器

![Python](https://img.shields.io/badge/Python-3.x-blue) ![Version](https://img.shields.io/badge/Version-v1.0-success) ![Status](https://img.shields.io/badge/Status-Completed-brightgreen) ![Platform](https://img.shields.io/badge/Platform-Linux-lightgrey) ![License](https://img.shields.io/badge/License-MIT-green)

一个基于 Python 的**数字取证与事件响应 (DFIR)** 工具，可自动化 Linux SSH 认证日志分析，检测可疑活动，提取危害指标 (IOC)，划分威胁优先级，并生成多种格式的专业调查报告。 # 📑 目录 * [概述](#-overview) * [快速开始](#-quick-start) * [功能](#-features) * [项目亮点](#-project-highlights) * [架构](#-architecture) * [项目结构](#-project-structure) * [命令行选项](#-command-line-options) * [调查报告](#-investigation-report) * [截图](#-screenshots) * [使用技术](#-technologies-used) * [展示技能](#-skills-demonstrated) * [未来改进](#-future-improvements) * [许可证](#-license) * [作者](#-author) # 📖 概述数字取证痕迹分析器是一个模块化的、基于 Python 的 DFIR 工具，可自动化调查 Linux SSH 认证日志。该分析器无需手动审查数百个认证事件，而是解析认证日志，检测可疑登录活动，识别暴力破解攻击，提取危害指标 (IOC)，分类威胁严重程度，并生成结构化的调查报告。该项目展示了以下方面的实际应用： * Python 自动化 * Linux 日志分析 * 数字取证 * 事件响应 * 威胁检测 * 安全自动化 # 🚀 快速开始 ## 克隆仓库 ``` git clone https://github.com/sandeep-7981/Digital-Forensics-Artifact-Analyzer.git cd Digital-Forensics-Artifact-Analyzer ``` ## 运行分析器 ``` python main.py samples/auth.log ``` 生成 HTML Dashboard ``` python main.py samples/auth.log --html ``` 生成 JSON 报告 ``` python main.py samples/auth.log --json ``` 生成 CSV 报告 ``` python main.py samples/auth.log --csv ``` 生成所有报告 ``` python main.py samples/auth.log --html --json --csv ``` 自定义阈值 ``` python main.py samples/auth.log --threshold 5 --top_n 3 ``` # ✨ 功能 ## 🔐 认证分析 * 解析 Linux SSH 认证日志 * 检测成功的登录尝试 * 检测失败的登录尝试 * 统计每个 IP 的失败尝试次数 * 跟踪唯一的目标用户 * 生成按时间顺序排列的认证时间线 ### 🚨 威胁检测 * 暴力破解攻击检测 * 用户名枚举检测 * 失败后成功检测 * 可疑 IP 检测 * 被入侵账号检测 ### 📌 危害指标 (IOC) * 可疑 IP 提取 * 枚举 IP 检测 * 被入侵账号识别 * 最活跃攻击者检测 * IOC 计数摘要 ### ⚠️ 威胁评估自动将恶意活动分类为： * 🔴 高优先级 * 🟠 中优先级 * 🟢 低优先级 ### 📄 报告生成生成以下格式的调查报告： * TXT * HTML Dashboard * JSON * CSV # 📊 项目亮点 | 指标 | 值 | | ------------------------------- | -----: | | 已处理认证事件 | 200+ | | 报告格式 | 4 | | 威胁等级 | 3 | | IOC 类型 | 5 | | 检测技术 | 5 | | 编程语言 | Python | # 🏗️ 架构 ``` Authentication Log │ ▼ Authentication Parser │ ▼ Detection Engine │ ┌──────────────┼──────────────┐ ▼ ▼ ▼ IOC Extraction Event Timeline Threat Assessment │ │ │ └──────────────┼──────────────┘ │ ▼ Report Generation ┌────────┬────────┬────────┬────────┐ ▼ ▼ ▼ ▼ TXT HTML JSON CSV ``` # 📂 项目结构 ``` Digital-Forensics-Artifact-Analyzer/ ├── analyzer/ │ ├── detection.py │ ├── ioc.py │ └── threat.py │ ├── parsers/ │ └── auth_parser.py │ ├── reports/ │ ├── txt_report.py │ ├── html_report.py │ ├── html_sections.py │ ├── html_styles.py │ ├── json_report.py │ └── csv_report.py │ ├── output/ │ ├── samples/ │ ├── auth.log │ └── auth_test_200.log │ ├── screenshots/ │ ├── main.py ├── README.md └── requirements.txt ``` # ⚙️ 命令行选项 | 参数 | 描述 | | ------------- | ------------------------------------------------- | | `--threshold` | 用于分类可疑 IP 的失败登录阈值 | | `--top_n` | 显示的失败次数最多的 IP 数量 | | `--savefile` | 输出 TXT 报告的路径 | | `--html` | 生成 HTML dashboard | | `--json` | 生成 JSON 报告 | | `--csv` | 生成 CSV 报告 | # 📄 调查报告分析器会自动生成包含以下内容的报告： * 认证摘要 * 失败登录分析 * 失败次数最多的尝试 * 可疑 IP 分析 * 潜在账号被入侵警报 * 近期事件时间线 * 危害指标 (IOC) * 威胁评估 * 安全分析师建议 # 📸 截图 ## 🌐 HTML 仪表板

--- ## 🖥️ 控制台报告

# 🛠️ 使用技术 * Python 3 * HTML * CSS * JSON * CSV * argparse * collections * datetime * os * 正则表达式 (`re`) # 🎯 展示技能 * Python 编程 * 数字取证 * 事件响应 * Linux 认证日志分析 * 安全事件关联 * 威胁检测 * IOC 提取 * 威胁优先级划分 * 报告生成 * CLI 开发 * 模块化软件设计 # 🔮 未来改进 * PDF 报告导出 * 实时日志监控 * 威胁情报集成 * IP 信誉丰富 * 多日志支持 * Web Dashboard * Docker 部署 # 📜 许可证该项目基于 **MIT License** 授权。 # 👨‍💻 作者 ## **B V V Sandeep** **网络安全 • 云安全 • 数字取证爱好者** 作为作品集项目构建，旨在展示 Python 自动化、数字取证与事件响应 (DFIR) 以及网络安全分析的实际应用。

⭐ 如果您觉得这个项目有用，请考虑在 GitHub 上给它点个 ⭐！

标签：AMSI绕过, Homebrew安装, IOC提取, PE 加载器, Python, 多模态安全, 威胁检测, 库, 应急响应, 数字取证, 无后门, 红队行动, 自动化脚本, 逆向工具