allastor0309-source/OpenDFIR
GitHub: allastor0309-source/OpenDFIR
OpenDFIR 是一个将大语言模型与调查工具结合的开源 AI 平台,旨在为数字取证、应急响应和 OSINT 调查提供统一的、本地优先的 AI 辅助工作流。
Stars: 0 | Forks: 0
# OpenDFIR
用于数字取证、应急响应和 OSINT 的开源 AI 平台
由本地和云端语言模型驱动的 AI 辅助调查工作流。
OpenDFIR 是一个开源平台,旨在通过将现代大型语言模型与调查工具及结构化工作流相结合,协助数字调查员、DFIR 专业人员、应急响应人员和 OSINT 研究人员。 与通用 AI 助手不同,OpenDFIR 专注于调查特定任务,例如证据分析、IOC 提取、时间线生成和报告起草,同时将敏感数据保持在用户的控制之下。 # 愿景 现代网络调查要求分析师在数十种工具、网站和数据格式之间进行切换。 OpenDFIR 旨在提供一个统一的 AI 工作区,能够将本地和云端模型与调查工具协同编排。 长期目标是减少重复性工作,让调查人员能够专注于分析,而不是手动处理数据。 # 为什么选择 OpenDFIR? 当前的调查工作流通常涉及: - 日志分析 - IP 情报 - WHOIS - ASN 查询 - DNS 分析 - 恶意软件情报 - IOC 提取 - 证据审查 - 报告撰写 OpenDFIR 将这些工作流整合到一个由 AI 辅助的单一环境中。 # 核心原则 ✅ 本地优先 只要有可能,敏感证据应保留在调查人员的计算机上。 ✅ 开源 核心组件旨在完全开源。 ✅ 模型无关 支持多个 LLM 提供商。 示例包括: - Ollama - LM Studio - OpenRouter - Anthropic - OpenAI - Google Gemini - Mistral AI ✅ 模块化 每项功能都应作为独立的模块或 MCP server 实现。 # 计划功能 ## 调查助手 - AI 辅助调查 - 证据摘要 - 时间线生成 - 关系分析 - 调查规划 ## 证据分析器 支持: - PDF - DOCX - TXT - CSV - JSON - HTML - EML 未来计划: - PCAP - 注册表配置单元 (Registry hives) - 内存分析 ## IOC 提取 自动提取: - IP 地址 - 域名 - URL - 电子邮件地址 - 哈希值 - 加密货币钱包 - 用户名 - 文件路径 ## 威胁情报 计划集成: - RIPE - Shodan - VirusTotal - Censys - AbuseIPDB - URLScan - GreyNoise - MalwareBazaar - AlienVault OTX ## AI 提供商 设计兼容: ### 本地 - Ollama - LM Studio ### 云端 - Anthropic - OpenAI - Google Gemini - OpenRouter - Mistral AI ## MCP 生态系统 计划集成 MCP: - 文件系统 (Filesystem) - GitHub - PostgreSQL - 终端 (Terminal) - Docker - Shodan - RIPE - VirusTotal # 架构 ``` User │ OpenDFIR Agent │ ┌───────────────────┼────────────────────┐ Local Models Cloud Models MCP Servers Ollama Claude Filesystem LM Studio GPT GitHub Magistral Gemini Terminal Qwen Mistral PostgreSQL RIPE VirusTotal Docker Shodan │ Investigation Engine │ Evidence Analysis Pipeline │ Reports • Timeline • RAG ``` # 路线图 ## 阶段 1 - Hermes 集成 - 支持 Ollama - 文件系统 (Filesystem) - 终端 (Terminal) ## 阶段 2 - RAG - PDF 处理 - DOCX 处理 ## 阶段 3 - RIPE - WHOIS - DNS - Shodan ## 阶段 4 - VirusTotal - IOC 引擎 - 时间线引擎 ## 阶段 5 - 报告生成器 - 调查工作区 - 协作 # 目标用户 OpenDFIR 专为以下人群设计: - 数字取证 (DFIR) - 应急响应 - SOC 分析师 - CERT 团队 - 威胁猎手 (Threat Hunters) - OSINT 研究人员 - 安全研究员 - 网络安全学生 # 安全与隐私 OpenDFIR 遵循本地优先的理念。 由用户决定: - 使用哪个模型 - 哪些证据离开本地机器 - 启用哪些 API 基础功能不需要任何云服务商。 # 研究目标 该项目探索前沿语言模型如何改善调查工作流,同时保留调查人员对敏感信息的控制。 研究领域包括: - AI 辅助证据分析 - 检索增强生成 (RAG) - 多代理编排 (Multi-agent orchestration) - 本地与云端模型评估 - DFIR 中的负责任 AI # 许可证 计划许可证: Apache License 2.0 # 当前状态 🚧 Pre-MVP 阶段 该项目目前正处于架构和研究阶段。 随着实施的推进,将发布公开的路线图和开发更新。 # 联系方式 GitHub Discussions(计划中) Discord(计划中) 网站(计划中)标签:AI风险缓解, C2, DLL 劫持, LLM, Unmanaged PE, 人工智能, 大语言模型, 库, 应急响应, 数字取证, 测试用例, 用户模式Hook绕过, 自动化脚本, 请求拦截