fox-it/dissect

# dissect Dissect 是一个数字取证与事件响应（DFIR）框架和工具集，由 Fox-IT（NCC Group 的一部分）开发，允许您快速访问和分析来自各种磁盘和文件格式的取证数据。 本项目是一个元包（meta package），它将以正确的版本组合安装所有其他 Dissect 模块。如需更多信息，请参阅[文档](https://docs.dissect.tools/)。 ## 什么是 Dissect？ Dissect 是一个由各种解析器和文件格式实现构建而成的事件响应框架。将这一切结合在一起，Dissect 允许您使用名为 `target-query` 和 `target-shell` 的工具快速获取对取证数据的访问权限，例如 Runkeys、预读取文件和 Windows 事件日志等，这里仅举几例！ **统一的方法** 最棒的是：所有操作都采用统一的方式，无论底层的容器（E01, VMDK, QCoW）、文件系统（NTFS, ExtFS, FFS）或操作系统（Windows, Linux, ESXi）结构/组合如何。您不再需要费心从取证容器中提取文件，挂载它们（针对 VMDK 等格式），检索 MFT，并使用单独的工具解析它，最终创建时间线进行分析。这一切都由 Dissect 在后台以用户友好的方式处理。 如果我们以上面的例子为例，您只需使用像 `target-query -f mft ` 这样的命令，就可以开始分析解析后的 MFT 条目！ **使用 Acquire 创建轻量级容器** Dissect 还为您提供了一个名为 `acquire` 的工具。您可以在端点上部署此工具，以创建这些机器的轻量级容器。同样方便的是，您可以在 hypervisor 上部署 `acquire`，以快速创建其中所有（正在运行的）虚拟机的轻量级容器！所有这些都不必担心文件锁问题。然后可以使用像 `target-query` 和 `target-shell` 这样的工具分析这些轻量级容器，但也欢迎您使用其他工具。 **模块化设置** Dissect 的设计理念是模块化。这意味着每个单独的项目都可以单独使用（或组合使用），以创建全新的工具供您在任务中使用或以备后用！ **立即尝试！** 有兴趣亲自尝试吗？您可以简单地执行 `pip install dissect` 并立即开始使用 `target-*` 工具集。或者您也可以使用 https://try.dissect.tools 的交互式演练场在浏览器中试用 Dissect。 不知道从哪里开始？请查看[介绍页面](https://docs.dissect.tools/en/latest/usage/introduction.html)。 想要获取详细的概览？请查看[概览页面](https://docs.dissect.tools/en/latest/overview/)。 想要阅读所有内容？请查看[文档](https://docs.dissect.tools)。 ## 项目 Dissect 目前由以下项目组成。 - [dissect.apfs](https://github.com/fox-it/dissect.apfs) - [dissect.archive](https://github.com/fox-it/dissect.archive) - [dissect.btrfs](https://github.com/fox-it/dissect.btrfs) - [dissect.cim](https://github.com/fox-it/dissect.cim) - [dissect.clfs](https://github.com/fox-it/dissect.clfs) - [dissect.cramfs](https://github.com/fox-it/dissect.cramfs) - [dissect.cstruct](https://github.com/fox-it/dissect.cstruct) - [dissect.database](https://github.com/fox-it/dissect.database) - [dissect.etl](https://github.com/fox-it/dissect.etl) - [dissect.eventlog](https://github.com/fox-it/dissect.eventlog) - [dissect.evidence](https://github.com/fox-it/dissect.evidence) - [dissect.executable](https://github.com/fox-it/dissect.executable) - [dissect.extfs](https://github.com/fox-it/dissect.extfs) - [dissect.fat](https://github.com/fox-it/dissect.fat) - [dissect.ffs](https://github.com/fox-it/dissect.ffs) - [dissect.fve](https://github.com/fox-it/dissect.fve) - [dissect.hypervisor](https://github.com/fox-it/dissect.hypervisor) - [dissect.jffs](https://github.com/fox-it/dissect.jffs) - [dissect.ntfs](https://github.com/fox-it/dissect.ntfs) - [dissect.ole](https://github.com/fox-it/dissect.ole) - [dissect.qnxfs](https://github.com/fox-it/dissect.qnxfs) - [dissect.regf](https://github.com/fox-it/dissect.regf) - [dissect.shellitem](https://github.com/fox-it/dissect.shellitem) - [dissect.squashfs](https://github.com/fox-it/dissect.squashfs) - [dissect.target](https://github.com/fox-it/dissect.target) - [dissect.thumbcache](https://github.com/fox-it/dissect.thumbcache) - [dissect.util](https://github.com/fox-it/dissect.util) - [dissect.vmfs](https://github.com/fox-it/dissect.vmfs) - [dissect.volume](https://github.com/fox-it/dissect.volume) - [dissect.xfs](https://github.com/fox-it/dissect.xfs) ### 相关 这些项目与 Dissect 密切相关，但不会由此元包安装。 - [acquire](https://github.com/fox-it/acquire) - [flow.record](https://github.com/fox-it/flow.record) ## 要求 本项目是 Dissect 框架的一部分，需要 Python。 有关支持的 Python 版本的信息，可以在[文档](https://docs.dissect.tools/en/latest/index.html#getting-started)的入门部分中找到。 ## 安装 `dissect` 可在 [PyPI](https://pypi.org/project/dissect/) 上获取。 ``` pip install dissect ``` ## 构建和测试说明 本项目使用 `tox` 构建源代码和 wheel 分发包。从根文件夹运行以下命令来构建它们： ``` tox -e build ``` 构建产物可以在 `dist/` 目录中找到。 `tox` 也用于在自包含的环境中运行代码检查和单元测试。要使用默认安装的 Python 版本运行代码检查和单元测试，请运行： ``` tox ``` 有关如何构建和测试项目的更详细说明，请参阅[文档](https://docs.dissect.tools/en/latest/contributing/tooling.html)。 ## 版权和许可 Dissect 由 NCC Group Plc () 旗下的 Fox-IT () 作为开源软件发布。 由 Dissect 团队 () 开发，并在 上提供。 许可条款：AGPL3 ()。更多信息，请参阅 LICENSE 文件。

标签：DAST, E01, Fox-IT, HTTPS请求, HTTP请求, Linux取证, MFT解析, NCC Group, NTFS, Python, VMDK, Windows取证, 代码示例, 内存取证对抗, 取证框架, 库, 应急响应, 恶意软件分析, 数字取证, 数据分析, 文件系统解析, 无后门, 磁盘映像, 磁盘镜像分析, 系统工程, 自动化取证, 自动化脚本, 逆向工具