Johnng007/Live-Forensicator
GitHub: Johnng007/Live-Forensicator
一套跨平台的实时取证与事件响应工具包,通过自动化痕迹采集、威胁检测与可视化报告,帮助安全人员快速完成从数据收集到入侵研判的闭环。
Stars: 614 | Forks: 90
🛡️ Forensicator 🛡️
跨平台事件响应与实时取证工具包
Windows (PowerShell) | Linux (Bash) | macOS (Shell)
专为快速、结构化且可执行的取证调查而构建。
``` ___________ .__ __ \_ _____/__________ ____ ____ _____|__| ____ _____ _/ |_ ___________ | __)/ _ \_ __ \_/ __ \ / \ / ___/ |/ ___\\__ \\ __\/ _ \_ __ \ | \( <_> ) | \/\ ___/| | \\___ \| \ \___ / __ \| | ( <_> ) | \/ \___ / \____/|__| \___ >___| /____ >__|\___ >____ /__| \____/|__| \/ \/ \/ \/ \/ \/ v4.1.1 ``` # 🤔 关于 **Forensicator** 是一个跨平台的事件响应和实时取证工具包,是 Black Widow Toolbox 的一部分。 它旨在帮助取证调查人员和事件响应人员在实时调查期间快速收集、分析和解释系统痕迹。 Forensicator: * 收集系统和用户活动数据 * 检测异常行为和可疑指标 * 突出显示潜在的入侵或配置错误 * 生成结构化、便于调查的 HTML 报告 # ⚙️ 平台支持 ## Windows (PowerShell) * 高级事件日志分析 * 通过已知事件 ID 检测可疑活动 * 集成 Sigma 规则 * 恶意软件哈希匹配(例如 abuse.ch 源) * 浏览器历史记录分析与 IOC 匹配 * 可选的痕迹加密 (AES) 👉 https://github.com/Johnng007/Live-Forensicator/tree/main/Windows ## macOS (Shell) * 轻量级痕迹收集 * 系统和用户活动检查 👉 https://github.com/Johnng007/Live-Forensicator/tree/main/MacOS ## Linux (Bash) * 跨发行版兼容的 Bash 脚本 * 使用原生系统工具(无重度依赖) * 专注于可移植性和可靠性 👉 https://github.com/Johnng007/Live-Forensicator/tree/main/Linux # 🔍 核心功能 * 跨平台取证痕迹收集 * 检测可疑活动和异常 * 事件日志分析 * Sigma 规则集成 * 恶意软件哈希和 IOC 匹配 * 结构化 HTML 报告(含仪表盘) * 可选的痕迹加密(Windows 模块) # 📊 输出 Forensicator 生成: * 整洁、结构化的 HTML 报告 * 索引化发现,便于导航 * 本地存储的提取痕迹 这实现了从 **数据收集 → 调查 → 决策** 的快速转换。 # ⚠️ 重要说明 * 建议使用提升的/特权权限运行脚本以获得最佳结果 * 活动可能会触发 IDS/IPS 警报 —— 属于预期行为 * 外部威胁情报(哈希、IOC)可能会在执行期间更新 * 可通过 `config.json` 自定义配置 # 🔐 痕迹完整性与加密 Forensicator 支持使用 AES 对收集的痕迹进行可选加密。 这在以下情况下非常有用: * 证据必须安全传输 * 存在保管链问题 * 必须保留痕迹的法律完整性 # 🧠 检测能力 Forensicator 通过以下方式识别可疑活动: * 事件日志分析 * 基于 Sigma 的检测 * 恶意哈希匹配 * 基于 IOC 的 URL 分析(浏览器历史记录) # 📸 截图终端输出
HTML 仪表盘
# 🔗 联系方式
LinkedIn
标签:AI合规, Bash, Black Widow Toolbox, Conpot, DNS 反向解析, HTML报告, HTTP工具, IOC匹配, IPv6, macOS安全, PowerShell, Shell脚本, Sigma规则, Windows安全, 事件日志, 哈希校验, 多模态安全, 子域名变形, 实时取证, 库, 应急响应, 应用安全, 数字取证, 目标导入, 端点安全, 网络安全, 网络安全审计, 自动化脚本, 自动化调查, 自定义脚本, 补丁管理, 隐私保护