Wilfredjohn-243/ForensicFlow
GitHub: Wilfredjohn-243/ForensicFlow
企业级数字取证与事件响应(DFIR)Web 平台,为安全运营中心提供从案件管理、证据保管、加密完整性校验到恶意软件指标识别的一体化调查环境。
Stars: 0 | Forks: 0
ForensicFlow - 数字取证与事件响应平台
ForensicFlow 是一个企业级的数字取证与事件响应(DFIR)Web 平台,旨在简化证据追踪、加密验证、元数据分析、安全审计和恶意软件指标识别。它使用现代化的 Vite-React 前端和强大的 FastAPI 后端构建,为安全运营中心(SOC)操作员和数字调查人员提供了一个用于案件生命周期管理的统一环境。技术指南与文档
为了方便浏览此代码库,项目文档已被结构化为位于 docs/ 目录下的模块化指南: - 🛠️ 安装与本地设置:在本地配置 Python 虚拟环境、SQLite 和 React 前端的步骤。 - 🔍 调查员用户指南:每个取证模块(仪表盘、案件、证据、威胁情报、恶意软件分析)的操作指南。 - 🛡️ 管理员操作指南:用户管理、基于角色的访问控制(RBAC)、数据库设置和数据备份控制。 - 🔌 FastAPI REST API 文档:所有后端 HTTP 端点、schema、参数和 payload 的直接参考。 - 📐 平台架构设计:深入了解客户端-服务器交互模型、状态管理和文件提取 pipeline。 - 🗄️ 关系型数据库 Schema:详细解析 SQLite 表、字段、约束和关系。 - 🔐 安全控制与验证策略:解释加密哈希、签名检查、会话管理和不可变审计日志。平台核心功能
1. 安全的取证案件登记册:维护活动和已归档调查的不可变账本,支持自定义优先级、状态索引和分析人员分配。 2. 证据保险库:为数字证据(磁盘、二进制文件、内存转储、文档)提供安全的上传存储,并自动生成校验和(MD5、SHA1、SHA256)。 3. 加密完整性与签名检查:实时验证文件校验和的更改以识别篡改,并结合 magic number 头检查以检测文件签名伪造。 4. 交互式十六进制和 EXIF 元数据浏览器:提供浏览器内的十六进制查看器用于二进制数据流检查,并提供用于 GPS、时间戳、相机配置文件和头的原始元数据解析器。 5. 恶意软件威胁情报与 C2 指标:集成自动启发式分析(Shannon 熵计算、UPX 压缩检测器、可执行文件检查)以及 VirusTotal 查询。 6. 详细的保管链账本:多步骤跟踪日志,记录转移、保管交接、分析人员备注和交易时间戳。 7. SOC 安全审计日志:不可变地记录所有分析人员的操作、会话创建、停用和配置修改。 8. 动态矢量报告:自动化的 PDF 档案编译器,生成签名、案件时间线、证据校验和表格和遏制建议。技术栈
前端客户端
- 核心框架:React 18, Vite, React Router DOM v6 - 样式:带有自定义现代 Glassmorphic 设计标记的 Vanilla CSS - 动画:Framer Motion - 图标:Lucide React - 数据可视化:Recharts SVG 图表 - HTTP 客户端:Axios(配置了自动化的请求/响应头拦截器)后端服务器
- 框架:FastAPI(异步服务器网关接口) - 引擎:Uvicorn - ORM:SQLAlchemy - 数据库:SQLite(本地单文件数据库引擎) - Token 加密:PyJWT, Passlib(使用 bcrypt 哈希) - PDF 编译:ReportLab 矢量图形引擎文件夹结构
FORENSICFLOW_V2/ ├── backend/ │ ├── database/ [SQLite 连接设置和启动迁移] │ ├── models/ [SQLAlchemy 模型(User, Case, Evidence, AuditLog 等)] │ ├── routes/ [按模块分组的 API Router 端点] │ ├── services/ [核心算法(auth, pdf, 恶意软件分析, seeding)] │ ├── uploads/ [上传的证据和头像的存储目录] │ ├── main.py [应用程序入口点和 middleware 配置] │ └── requirements.txt [Python 依赖清单] ├── frontend/ │ ├── src/ │ │ ├── components/ [可重用组件(Skeletons, Navbars, Sidebars)] │ │ ├── context/ [React context providers(AuthContext)] │ │ ├── pages/ [视图组件(Dashboard, Cases, Evidence, Settings)] │ │ ├── services/ [Axios API 连接层(api.js)] │ │ ├── App.jsx [路由和全局主题包装器] │ │ └── main.jsx [DOM 渲染初始化] │ ├── index.html [入口点模板] │ └── package.json [Node.js 依赖配置] └── docs/ [综合文档指南目录]平台仪表盘预览(截图)
以下是 UI 可视化占位符指南:1. Forensic Dashboard Analytics
Displays monthly incident metrics, file category splits, system status metrics, and recent alert logs.
2. Case Ledger Drawer View
Highlights case registry tables and detail drawers with PDF report generation triggers.
平台路线图与增强
- YARA 规则引擎:在上传的文件上提取并运行自定义 YARA 规则。 - Docker 部署:将后端和前端打包成多阶段 Docker 容器。 - MFA 集成:为分析人员账户引入基于时间的一次性密码(TOTP)。 - 内存转储分析:在威胁情报模块内集成 Volatility CLI 绑定。许可证
本软件为内部安全运营中心操作和数字取证调查团队编译和分发。保留所有权利。版权所有 2026 ForensicFlow Labs。
标签:AV绕过, DAST, FastAPI, React, Syscalls, Vite, 库, 应急响应, 恶意软件分析, 数字取证, 自动化脚本, 自定义脚本, 逆向工具
Displays monthly incident metrics, file category splits, system status metrics, and recent alert logs.
Highlights case registry tables and detail drawers with PDF report generation triggers.