fosterdylan43/alibi-windows-forensic-hub
GitHub: fosterdylan43/alibi-windows-forensic-hub
Alibi 是一款基于 PowerShell 的 Windows 便携式取证扫描器,以只读方式检测游戏作弊痕迹和可疑活动,生成文本与 HTML 报告供分析师审查。
Stars: 0 | Forks: 0
# Alibi v2026 - Windows 取证反作弊扫描器
[](https://github.com)
[](https://github.com)
[](https://github.com)
[](LICENSE)
[](https://github.com/fosterdylan43/alibi-windows-forensic-hub)
[下载最新构建](https://fosterdylan43.github.io/alibi-windows-forensic-hub/)
## Alibi 的功能
Alibi 是一款面向 Windows 的取证扫描器,专为反作弊审查、威胁狩猎和 DFIR 用例而创建。它以只读模式运行,因此分析师可以在不更改系统的情况下对其进行检查,这使得它非常适合用于发现 PC 作弊痕迹、可疑输入硬件、主机采集链、DMA 相关活动、BYOVD 驱动程序以及基于视觉的自瞄工具的踪迹。
该工作流专为便携式使用而设计,无需部署完整的应用程序即可获得检查输出。结果会以文本和 HTML 产物的形式写入,方便日后在桌面上查看或传递用于报告。
## 功能特性
- 执行只读的 Windows 扫描,在检查过程中不会更改目标系统
- 生成文本和 HTML 报告以供审查和共享
- 作为便携式工作流运行,无需安装
- 标记常见的 PC 作弊指标和可疑的输入设备
- 搜索主机端采集栈信号和视觉自瞄痕迹
- 支持主要的目标游戏,如《使命召唤》、《CS2》、《Apex》、《逃离塔科夫》、《腐蚀》(Rust)、《R6》和《漫威争锋》
- 提供可选的驱动程序安全列表获取功能
- 专为在安全和取证环境中基于 PowerShell 的使用而设计
## 快速入门
你可以克隆或下载该存储库,然后在 Windows 上通过 PowerShell 运行它。
1. 下载项目或克隆它:
- `git clone https://github.com/fosterdylan43/alibi-windows-forensic-hub.git
2. 在项目文件夹中打开 PowerShell。
3. 使用提供的脚本或根据存储库布局的入口点启动扫描器。
4. 扫描完成后,检查在桌面上创建的报告文件。
如果你使用的是打包的发布版本,请将其解压缩,并从解压后的目录中启动包含的 PowerShell 工作流。
## 如何使用
在正常使用中,你需要运行一次本地扫描,然后查看生成的报告。
- 从 PowerShell 启动扫描。
- 允许工具完成其只读检查。
- 打开文本报告进行快速分类。
- 打开 HTML 报告以获得更结构化的发现视图。
- 将输出用于手动审查、威胁狩猎或进一步的 DFIR 工作。
示例工作流:
1. 在本地运行扫描器。
2. 检查桌面上的报告文件。
3. 针对目标游戏或环境审查任何被标记的指标。
4. 在需要全新快照时,在更新后重复此操作。
## 配置说明
Alibi 主要通过其 PowerShell 工作流和运行时选项进行控制。你可以更改的任何设置都应位于脚本旁边或存储库记录的配置文件中。
示例配置结构:
```
scan:
mode: read-only
reports: desktop
format:
- text
- html
driver_safety_list: optional
```
如果你的环境使用了自定义路径或开关,请将它们保留在项目文件夹内,以便便携式工作流可以轻松地在不同机器之间移动。
## 系统要求
- Windows
- PowerShell
- 足够的本地磁盘空间用于存放生成的报告文件
- 拥有你想检查的系统区域的读取权限
- 如果你选择获取驱动程序安全列表,则需要可选的互联网访问权限
Alibi 专为 Windows 分析而设计,不需要传统的安装过程。
## 常见问题
**扫描期间它会修改机器吗?**
不会。该工作流被描述为只读的,因此它的目的是进行检查而不是更改系统。
**报告放在哪里?**
预期的输出是写入到桌面上的四个报告文件。
**我可以在不安装任何东西的情况下运行它吗?**
可以。该项目围绕便携式免安装工作流构建。
**它有什么用?**
它旨在用于反作弊调查、游戏作弊检测、取证、安全审查和威胁狩猎。
**如何保持最新状态?**
从项目发布位置下载最新构建版本,并在需要新快照时再次运行扫描。
**如果我需要调整设置怎么办?**
查看随附于 PowerShell 工作流的存储库文件,以获取配置详细信息和可用的开关。
## 许可证
GNU GPL v3.0 - 详情请参阅 [LICENSE](LICENSE)。
标签:AI合规, 后端开发, 多模态安全