sepinf-inc/IPED

# IPED 数字取证工具 IPED 是一款开源软件，用于处理和分析数字证据，这些证据通常由执法部门在犯罪现场查获，或由私人检查员在企业调查中获取。 ## 历史 IPED - 数字证据处理器和索引器（译自葡萄牙语）是用 Java 实现的工具，最初由巴西联邦警察的数字取证专家于 2012 年开发并持续维护至今。虽然它一直是开源的，但其代码直到 2019 年才正式发布。 从一开始，该工具的目标就是高效的数据处理和稳定性。该工具的一些主要特点包括： - 用于批量案件创建的命令行数据处理 - 多平台支持，已在 Windows 和 Linux 系统上测试 - 无需安装的便携式案件，可从移动存储设备直接运行 - 集成且直观的分析界面 - 高多线程性能和支持大型案件：使用现代硬件处理速度高达 400GB/h，截至 2019 年 12 月 12 日，（多）案件中包含多达 1.35 亿个项目 目前，IPED 仅使用 [Sleuthkit Library](https://github.com/sleuthkit/sleuthkit) 来解码磁盘镜像和文件系统，因此支持相同的镜像格式：RAW/DD, E01, ISO9660, AFF, VHD, VMDK。此外还支持 EX01, VHDX, UDF(ISO), AD1 (AccessData) 和 UFDR (Cellebrite) 格式。 如果您是初次使用该工具，请参阅 [新手入门指南](https://github.com/lfcnassif/IPED/wiki/Beginner's-Start-Guide)。 ## 构建 要从源代码构建，您需要安装 git、maven 和 Java JDK 11 + JavaFX（例如 Liberica OpenJDK 11 Full JDK）。将 JAVA_HOME 环境变量设置为您的 Java 11 安装文件夹，然后运行： ``` git clone https://github.com/sepinf-inc/IPED.git cd IPED mvn clean install ``` 它将在 target/release 文件夹中生成 IPED 的快照版本。 注意：默认的 master 分支是开发分支，不稳定。如果您想构建稳定版本，请在 clone 步骤后切换（checkout）到相应的发布标签。 在 Linux 上，您还必须构建 The Sleuthkit 和其他依赖项。请参阅 [Linux 章节](https://github.com/sepinf-inc/IPED/wiki/Linux) 非常欢迎贡献代码！在贡献之前，请参阅 [贡献指南](https://github.com/lfcnassif/IPED/wiki/Contributing) ## 功能特性 下面列出了 IPED 众多功能中的一部分： - 支持的哈希算法：md5, sha-1, sha-256, sha-512 和 edonkey。PhotoDNA 也可用 **仅供执法部门使用**（请联系 iped at pf dot gov dot br） - 支持的哈希集：NIST NSRL, NIST CAID, ProjectVIC, Interpol ICSE, 标准 CSV 格式 - 快速哈希去重 - 签名分析 - 按文件类型和属性分类 - 数十种文件格式的递归容器解压 - 嵌入式取证/虚拟磁盘展开：支持分卷或单段 DD, E01, EX01, VHD, VHDX, VMDK（也支持差异 VMDK） - 数百种格式的图像和视频库 - GPS 数据的地理定位，使用 Google Maps, Bing 或 OpenStreetMaps - 正则表达式搜索，带有可选脚本验证，支持信用卡、电子邮件、URL、IP 和 MAC 地址、货币金额、比特币、以太坊、门罗币、瑞波币钱包等... - 嵌入式十六进制、Unicode 文本、元数据和原生查看器 - 文件内容和元数据索引及快速搜索，包括未知文件和未分配空间 - 高效的数据雕刻引擎（占用 < 10% 的处理时间），扫描范围远超未分配空间，支持 40 多种文件格式，包括视频，可通过脚本扩展 - 由 tesseract 5 驱动的光学字符识别 (OCR) - 对已知格式的加密检测，并使用熵测试 - 处理配置文件：forensic（取证）, pedo (csam), triage（分类）, fastmode（预览）和 blind（用于自动数据提取） - 70 多种语言的检测 - 命名实体识别（需下载 Stanford CoreNLP 模型） - 基于任何文件元数据的可自定义过滤器 - 具有可配置阈值的相似文档搜索 - 相似图像搜索，使用内部或外部图像 - 相似人脸识别，经优化可在无 GPU 情况下运行，具有可配置阈值 - 统一表格时间线视图和用于时间线分析的事件过滤 - 基于任何元数据的强大文件分组（聚类） - 支持高达 1.35 亿项的多案件 - 可通过 JavaScript 和 Python（包括 CPython 扩展）脚本扩展 - 集成外部命令行工具用于文件解码 - 浏览器历史记录：IE, Edge, Firefox, Chrome 和 Safari - 针对 Emule, Shareaza, Ares, WhatsApp, Skype, Telegram, Bittorrent, ActivitiesCache 等的自定义解析器... - 使用随机森林算法对图像和视频进行快速裸露检测（感谢其作者 @tc-wleite） - 使用 Yahoo open-nsfw 深度学习模型进行裸露检测（需要 keras 和 tensorflow） - 音频转录，支持本地以及 Azure 和 Google Cloud 服务的远程实现 - 通信（通话、电子邮件、即时消息...）的图谱分析 - 通过进程外文件系统解码和文件解析实现稳定处理 - 恢复或重启已停止或中止的处理（--continue/--restart 选项） - 用于搜索远程案件的 Web API，获取文件元数据、原始内容、解码文本、缩略图和发布书签 - 为感兴趣的数据创建书签/标签 - HTML, CSV 报告以及包含标签数据的便携式案件 ## 截图 处理：  分析：  数据雕刻与视频缩略图：  正则结果：  地图：  通信链路：  人脸搜索：  音频转录：  时间线：  时间图表：  2 名嫌疑人行为与非法活动的事件关联： 

标签：BeEF, E01, ESC4, IPED, JS文件枚举, OSINT, Sleuth Kit, 企业调查, 全文检索, 取证镜像, 司法鉴定, 域名枚举, 域名枚举, 幻觉缓解, 库, 应急响应, 执法, 数字取证, 数字证据分析, 数据可视化, 数据恢复, 数据预处理, 桌面搜索, 爬虫, 电子取证, 电子数据鉴定, 磁盘取证, 索引器, 网络安全, 网络犯罪调查, 联邦警察, 自动化脚本, 蓝队工具, 逆向工具, 隐私保护