cuhsat/fox

GitHub: cuhsat/fox

一款跨平台命令行取证工具，集成文件分析、日志解析、威胁狩猎和事件响应等能力，支持 AI 代理调用并自动生成监管链收据。

Stars: 2 | Forks: 0

The Forensic Examiners Swiss Army Knife

[![Go 报告](https://goreportcard.com/badge/github.com/cuhsat/fox/v4?style=for-the-badge)](https://goreportcard.com/report/github.com/cuhsat/fox/v4) [![构建](https://img.shields.io/github/actions/workflow/status/cuhsat/fox/test.yaml?style=for-the-badge&label=build)](https://github.com/cuhsat/fox/actions) [![发布](https://img.shields.io/github/release/cuhsat/fox.svg?style=for-the-badge&label=release)](https://github.com/cuhsat/fox/releases) Hunt

## 概述 Fox 是一个 CLI 工具，旨在通过跨平台独立二进制文件提供最有用的功能，以支持基于文件的取证工件检查过程。所有文件仅以只读方式处理。每次输出时都会生成一份监管链收据。 ## 功能 * [x] 限制性只读访问 * [x] [双向字符](https://nvd.nist.gov/vuln/detail/CVE-2021-42574) 检测 * [x] 字符串提取和自动分类 * [x] 包含超过 290 种 [Hashcat](https://hashcat.net/wiki/doku.php?id=example_hashes) 表示法的类别 * [x] 解析 Fortinet 二进制防火墙日志文件 * [x] 解析 Active Directory 和其他 [EDB](https://learn.microsoft.com/en-us/windows/win32/extensible-storage-engine/extensible-storage-engine) 文件 * [x] 解析 Windows 快捷方式和预取文件 * [x] 解析 [Linux ELF](https://refspecs.linuxfoundation.org/elf/elf.pdf) 和 [Windows PE/COFF](https://learn.microsoft.com/en-us/windows/win32/debug/pe-format) 可执行文件 * [x] 通过 [VirusTotal API](https://www.virustotal.com/) 检查 IP、URL、域名和文件 * [x] 从 [Active Directory](https://learn.microsoft.com/en-us/troubleshoot/windows-server/windows-security/ntlm-user-authentication) 数据库中提取 NTLM 哈希 * [x] 面向 AI 代理的完整全 [MCP](https://modelcontextprotocol.io/docs/getting-started/intro) 流服务器 * [x] 内置类似 `grep`、`head`、`tail`、`uniq`、`wc`、`hexdump` 的功能 * [x] 内置多种不同格式的语法高亮 * [x] 内置快速 [香农熵](https://en.wikipedia.org/wiki/Entropy_(information_theory)) 计算 * [x] 内置 *监管链* 收据生成 * [x] 支持多种流行的归档和压缩格式 * [x] 支持多种流行的加密哈希、图像哈希、模糊哈希和快速哈希 * [x] 每种模式都附带 [手册页](assets/man) * [x] 特殊 [Hunt](assets/man/fox-hunt.md) 模式 * [x] 内置 [Linux Journals](https://systemd.io/JOURNAL_FILE_FORMAT/) 和 [Windows 事件日志](https://learn.microsoft.com/en-us/windows/win32/eventlog/event-log-file-format) 的日志提取 * [x] 内置 [通用事件格式](https://www.microfocus.com/documentation/arcsight/arcsight-smartconnectors-8.3/cef-implementation-standard/Content/CEF/Chapter%201%20What%20is%20CEF.htm) 的超级时间线 * [x] 内置超过 51600 个事件 ID 的翻译 * [x] 内置关键系统事件警告 * [x] 使用 [Sigma 规则](https://sigmahq.io/) 语法过滤事件 * [x] 使用 [Levenshtein 距离](https://en.wikipedia.org/wiki/Levenshtein_distance) 过滤异常 * [x] 以 [Splunk HEC](https://help.splunk.com/en/splunk-enterprise/leverage-rest-apis/rest-api-reference/10.0/input-endpoints/input-endpoint-descriptions) 和 [Elastic ECS](https://www.elastic.co/docs/reference/ecs) 格式流式传输 * [x] 保存为 `JSON`、`JSON Lines`、`Parquet` 或 `SQLite` ## 安装最快速的入门方式是使用 `go install` 命令： ``` go install github.com/cuhsat/fox/v4@latest ``` 也提供独立的二进制文件： | 操作系统 | 二进制文件 | 软件包 | |:-------:|:-------------------------------------------------------------------------------------------------------------------------------------------------------------------------------|:---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------| | Linux | [amd](https://github.com/cuhsat/fox/releases/latest/download/fox_linux_amd64.tar.gz) \| [arm](https://github.com/cuhsat/fox/releases/latest/download/fox_linux_arm64.tar.gz) | [apk](https://github.com/cuhsat/fox/releases/latest/download/fox_linux_amd64.apk) \| [deb](https://github.com/cuhsat/fox/releases/latest/download/fox_linux_amd64.deb) \| [pkg](https://github.com/cuhsat/fox/releases/latest/download/fox_linux_amd64.pkg.tar.zst) \| [rpm](https://github.com/cuhsat/fox/releases/latest/download/fox_linux_amd64.rpm) | | macOs | [amd](https://github.com/cuhsat/fox/releases/latest/download/fox_darwin_amd64.tar.gz) \| [arm](https://github.com/cuhsat/fox/releases/latest/download/fox_darwin_arm64.tar.gz) | `brew install cuhsat/fox/fox` | | Windows | [amd](https://github.com/cuhsat/fox/releases/latest/download/fox_windows_amd64.zip) \| [arm](https://github.com/cuhsat/fox/releases/latest/download/fox_windows_arm64.zip) | 二进制文件为可移植可执行文件 | ## 示例在事件日志中查找匹配项： ``` fox -eWinlogon ./**/*.evtx ``` 以规范十六进制显示 MBR： ``` fox hex -hc512 disk.dd ``` 显示二进制中的字符串： ``` fox text -w ioc.exe ``` 对归档内容进行哈希： ``` fox hash -Amd5 files.7z ``` 列出高熵文件： ``` fox stat -n0.9 ./**/* ``` 导出 NTLM 哈希： ``` fox dump system ntds.dit ``` 测试可疑文件： ``` fox test ioc.exe ``` 追踪可疑事件： ``` fox hunt -u *.dd ``` ## 支持文件格式归档格式压缩格式加密哈希性能哈希感知哈希相似度哈希 Windows 专用校验和 🦊 根据 [GPL-3.0](LICENSE.md) 发布

标签：Active Directory, Ask搜索, Bitdefender, DAST, EDB解析, ELF分析, EVTX分析, Fortinet防火墙, Go语言, Hashcat, HTTPS请求, HTTP请求, IP 地址批量处理, Linux取证, MCP协议, NTLM, PE文件分析, Plaso, Prefetch, VirusTotal, Windows取证, 只读处理, 哈希提取, 字符串雕刻, 库, 应急响应, 快捷方式解析, 恶意软件分析, 数字取证, 文件取证, 文档结构分析, 日志审计, 模拟器, 程序破解, 网络信息收集, 网络安全审计, 自动化脚本, 证据链