f0x4n6/fox

GitHub: f0x4n6/fox

一款跨平台的数字取证瑞士军刀，整合日志解析、哈希分析、字符串提取、事件翻译与Sigma规则威胁狩猎能力。

Stars: 2 | Forks: 0

The Forensic Examiners Swiss Army Knife

[![Go Report](https://goreportcard.com/badge/github.com/f0x4n6/fox/v4?style=for-the-badge)](https://goreportcard.com/report/github.com/f0x4n6/fox/v4) [![Build](https://img.shields.io/github/actions/workflow/status/f0x4n6/fox/tests.yaml?style=for-the-badge&label=build)](https://github.com/f0x4n6/fox/actions) [![Release](https://img.shields.io/github/release/f0x4n6/fox.svg?style=for-the-badge&label=release)](https://github.com/f0x4n6/fox/releases)

## 关于 Fox 是一个 CLI 工具，旨在通过跨平台独立二进制文件提供最有用的功能，以支持基于文件的取证工件检查过程。就像任何瑞士军刀一样，虽然有许多特定的强力工具提供更深入的功能，但有时您需要的只是一把简单的螺丝刀。 ## 功能特性 * [x] 受限只读访问 * [x] [双向字符](https://nvd.nist.gov/vuln/detail/CVE-2021-42574)检测 * [x] 字符串雕刻和自动分类 * [x] 包含超过 290 种 [Hashcat](https://hashcat.net/wiki/doku.php?id=example_hashes) 表示法的类别 * [x] 解析 Fortinet 二进制防火墙日志 * [x] 解析 Active Directory 和其他 [EDB](https://learn.microsoft.com/en-us/windows/win32/extensible-storage-engine/extensible-storage-engine) 文件 * [x] 解析 Windows 快捷方式和预取文件 * [x] 解析 [Linux ELF](https://refspecs.linuxfoundation.org/elf/elf.pdf) 和 [Windows PE/COFF](https://learn.microsoft.com/en-us/windows/win32/debug/pe-format) 可执行文件 * [x] 从 [Active Directory](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/ntlm-user-authentication) 数据库转储 NTLM 哈希 * [x] 内置类似 `grep`、`head`、`tail`、`uniq`、`wc`、`hexdump` 的功能 * [x] 内置多种不同格式的语法高亮 * [x] 内置快速 [Shannon 熵](https://en.wikipedia.org/wiki/Entropy_(information_theory))计算 * [x] 通过 [VirusTotal API](https://www.virustotal.com/) 内置文件哈希查询 * [x] 内置 *监管链* 凭证生成 * [x] 许多流行的归档和压缩格式 * [x] 许多流行的加密、图像、模糊和快速哈希 * [x] 每个命令都有 [man pages](assets/man) * [x] 特殊的 [Hunt](assets/man/fox-hunt.md) 命令 * [x] 内置 [Linux Journals](https://systemd.io/JOURNAL_FILE_FORMAT/) 和 [Windows Event Logs](https://learn.microsoft.com/en-us/windows/win32/eventlog/event-log-file-format) 的日志雕刻 * [x] 内置 [Common Event Format](https://www.microfocus.com/documentation/arcsight/arcsight-smartconnectors-8.3/cef-implementation-standard/Content/CEF/Chapter%201%20What%20is%20CEF.htm) 格式的超级时间线 * [x] 内置超过 51600 个事件 ID 的翻译 * [x] 内置关键系统事件警告 * [x] 使用 [Sigma Rules](https://sigmahq.io/) 语法过滤事件 * [x] 使用 [Levenshtein distance](https://en.wikipedia.org/wiki/Levenshtein_distance) 过滤异常 * [x] 以 [Splunk HEC](https://help.splunk.com/en/splunk-enterprise/leverage-rest-apis/rest-api-reference/10.0/input-endpoints/input-endpoint-descriptions) 和 [Elastic ECS](https://www.elastic.co/docs/reference/ecs) 格式流式传输 * [x] 保存为 `JSON`、`JSON Lines`、`Parquet` 或 `SQLite` ## 安装最快速的入门方式是使用 `go install` 命令： ``` go install go.foxforensics.dev/fox/v4@latest ``` 也提供独立的二进制文件： | OS | Binaries | Packages | |:-------:|:-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|:-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | Linux | [amd](https://foxforensics.dev/fox/releases/latest/download/fox_linux_amd64.tar.gz) \| [arm](https://foxforensics.dev/fox/releases/latest/download/fox_linux_arm64.tar.gz) | [apk](https://foxforensics.dev/fox/releases/latest/download/fox_linux_amd64.apk) \| [deb](https://foxforensics.dev/fox/releases/latest/download/fox_linux_amd64.deb) \| [pkg](https://foxforensics.dev/fox/releases/latest/download/fox_linux_amd64.pkg.tar.zst) \| [rpm](https://foxforensics.dev/fox/releases/latest/download/fox_linux_amd64.rpm) | | macOs | [amd](https://foxforensics.dev/fox/releases/latest/download/fox_darwin_amd64.tar.gz) \| [arm](https://foxforensics.dev/fox/releases/latest/download/fox_darwin_arm64.tar.gz) | `brew install f0x4n6/fox/fox` | | Windows | [amd](https://foxforensics.dev/fox/releases/latest/download/fox_windows_amd64.zip) \| [arm](https://foxforensics.dev/fox/releases/latest/download/fox_windows_arm64.zip) | Binaries are portable executables | ## 示例在事件日志中查找匹配项： ``` fox -eWinlogon ./**/*.evtx ``` 以规范十六进制显示 MBR： ``` fox -hc512 disk.dd ``` 显示二进制文件中的所有字符串： ``` fox str -w sample.exe ``` 仅列出高熵文件： ``` fox info -n6.0 ./**/* ``` 将归档内容计算为 MD5 哈希： ``` fox hash -Amd5 files.7z ``` 从 AD 转储 NTLM 哈希： ``` fox dump system ntds.dit ``` 搜寻关键事件： ``` fox hunt -u *.dd ``` ## 支持文件格式归档格式压缩格式加密哈希性能哈希感知哈希相似性哈希 Windows 算法校验和 🦊 在 [GPL-3.0](LICENSE.md) 下发布

标签：Bitdefender, DNS 反向解析, EDB解析, ELF文件分析, EVTX分析, Fortinet, Golang, Grep, Hashcat, HTTPS请求, HTTP请求, Linux取证, NTLM Hash, PE文件分析, Prefetch, Windows取证, 十六进制转储, 双向字符检测, 哈希识别, 域环境安全, 字符串雕刻, 安全编程, 快捷方式, 数字取证, 文件取证, 文档结构分析, 日志审计, 活动目录, 熵计算, 网络安全审计, 自动化脚本, 防火墙日志