yogsec/Digital-Forensics-Tools

# 🕵️‍♂️ 数字取证工具  这是一份用于调查、数据恢复和安全分析的必备**数字取证工具**精选列表。这些工具可用于磁盘取证、内存分析、网络监控、恶意软件分析等。 # 🛠 磁盘取证工具 ### 🔍 磁盘镜像与克隆 - **[Autopsy](https://www.sleuthkit.org/autopsy/)** – 用于磁盘分析的图形化取证工具。 - **[The Sleuth Kit (TSK)](https://www.sleuthkit.org/)** – 文件系统取证的命令行工具包。 - **[FTK Imager](https://accessdata.com/solutions/digital-forensics/ftk-imager)** – 磁盘镜像与证据收集。 - **[dd (Data Dump)](https://man7.org/linux/man-pages/man1/dd.1.html)** – 用于磁盘克隆和镜像的命令行工具。 - **[dcfldd](https://sourceforge.net/projects/dcfldd/)** – 增强版的 `dd`，专为取证设计。 - **[Guymager](https://guymager.sourceforge.io/)** – 具有图形界面的快速取证镜像工具。 ### 🗂 文件系统与分区分析 - **[TestDisk](https://www.cgsecurity.org/wiki/TestDisk)** – 恢复丢失分区并修复磁盘结构。 - **[PhotoRec](https://www.cgsecurity.org/wiki/PhotoRec)** – 从存储介质恢复文件。 - **[X-Ways Forensics](https://www.x-ways.net/forensics/)** – 高级磁盘与文件系统分析工具。 - **[AccessData FTK (Forensic Toolkit)](https://accessdata.com/solutions/digital-forensics/ftk)** – 完整的取证调查套件。 ### 🔎 元数据与哈希分析 - **[ExifTool](https://exiftool.org/)** – 从文件中提取元数据。 - **[md5sum, sha256sum](https://man7.org/linux/man-pages/man1/md5sum.1.html)** – 使用哈希值验证文件完整性。 - **[Hashdeep](https://github.com/jessek/hashdeep)** – 计算并审核大型数据集的哈希值。 ### 🧩 文件恢复与数据 carving - **[Foremost](https://foremost.sourceforge.net/)** – 基于文件头、尾和数据结构恢复已删除文件。 - **[Scalpel](https://github.com/sleuthkit/scalpel)** – 用于恢复已删除文件的文件 carving 工具。 - **[Recuva](https://www.ccleaner.com/recuva)** – 易于使用的文件恢复软件。 ### 🔥 实时磁盘分析 - **[Mount Image Pro](https://www.mountimage.com/)** – 挂载磁盘镜像以进行实时取证分析。 - **[OSForensics](https://www.osforensics.com/)** – 基于 Windows 的实时取证分析工具。 - **[CAINE (Computer Aided Investigative Environment)](https://www.caine-live.net/)** – 内置工具的开源 Linux 取证发行版。 # 🧠 内存取证工具 ### 🔍 内存转储工具 - **[DumpIt](https://www.comae.com/)** – Windows 的一键 RAM 转储工具。 - **[WinPmem](https://github.com/Velocidex/WinPmem)** – Windows 内存采集工具。 - **[LiME](https://github.com/504ensicsLabs/LiME)** – 从 Linux 系统提取实时内存。 - **[AVML](https://github.com/microsoft/avml)** – Linux 与 Azure 虚拟机的内存采集工具。 - **[OSForensics](https://www.osforensics.com/)** – RAM 成像与取证分析。 ### 🔬 内存分析工具 - **[Volatility](https://github.com/volatilityfoundation/volatility)** – 用于内存分析的开源框架。 - **[Volatility 3](https://github.com/volatilityfoundation/volatility3)** – 基于 Python 3 的增强版本。 - **[Rekall](https://github.com/google/rekall)** – 来自 Google 的内存取证框架。 - **[MemProcFS](https://github.com/ufrisk/MemProcFS)** – 将内存转储挂载为虚拟文件系统。 - **[Redline](https://www.fireeye.com/services/freeware/redline.html)** – 分析内存中的恶意软件感染。 ### 🦠 恶意软件与进程分析 - **[Malfind](https://github.com/volatilityfoundation/volatility/wiki/Command-Reference#malfind)** – 检测恶意代码注入。 - **[YARA](https://github.com/VirusTotal/yara)** – 基于签名的内存中恶意软件检测。 - **[Strings](https://docs.microsoft.com/en-us/sysinternals/downloads/strings)** – 从内存转储中提取可读文本。 - **[PE-sieve](https://github.com/hasherezade/pe-sieve)** – 检测注入的恶意代码。 - **[HollowsHunter](https://github.com/hasherezade/hollows_hunter)** – 识别进程注入与恶意软件。 ### 📊 内存时间线与日志分析 - **[Log2Timeline (Plaso)](https://github.com/log2timeline/plaso)** – 从内存工件创建取证时间线。 - **[Memtriage](https://github.com/SwiftOnSecurity/Memtriage)** – 事件响应的快速分类工具。 - **[Efilter](https://github.com/google/efilter)** – 高效查询与分析内存工件。 # 🌐 网络取证工具 ### 🔎 数据包嗅探器与流量分析 - **[Wireshark](https://www.wireshark.org/)** – 实时网络流量分析的可视化数据包分析器。 - **[tcpdump](https://www.tcpdump.org/)** – 用于捕获网络数据包的命令行嗅探器。 - **[TShark](https://www.wireshark.org/docs/man-pages/tshark.html)** – Wireshark 的命令行版本，用于自动化数据包分析。 ### 🕵️ 入侵检测与网络安全监控 - **[Zeek (Bro)](https://zeek.org/)** – 用于安全监控的网络流量分析工具。 - **[Suricata](https://suricata.io/)** – 高性能网络 IDS、IPS 与 NSM 工具。 - **[Snort](https://www.snort.org/)** – 开源入侵检测与防御系统（IDS/IPS）。 ### 🛠️ 日志分析与网络流监控 - **[Argus](https://openargus.org/)** – 会话数据监控的网络流分析工具。 - **[ELK Stack (Elasticsearch, Logstash, Kibana)](https://www.elastic.co/)** – 网络日志的收集与可视化。 - **[Splunk](https://www.splunk.com/)** – 实时网络取证的高级日志分析与 SIEM。 ### 🔓 深度数据包检测与协议分析 - **[NetworkMiner](https://www.netresec.com/?page=NetworkMiner)** – 被动式网络流量分析，用于提取取证数据。 - **[Xplico](https://www.xplico.org/)** – 用于重建网络会话的网络取证工具。 - **[NetFlow Analyzer](https://www.manageengine.com/products/netflow/)** – 使用 NetFlow 数据监控与分析网络流量。 ### 📡 无线网络取证 - **[Kismet](https://www.kismetwireless.net/)** – 无线网络嗅探与入侵检测工具。 - **[Aircrack-ng](https://www.aircrack-ng.org/)** – Wi-Fi 安全评估与数据包捕获。 - **[WiFi Pineapple](https://shop.hak5.org/products/wifi-pineapple)** – 无线网络渗透测试与监控。 ### 🖥️ 中间人（MitM）与流量操控 - **[ettercap](https://www.ettercap-project.org/)** – 用于嗅探与网络操控的 MitM 攻击工具。 - **[MITMf](https://github.com/byt3bl33d3r/MITMf)** – 网络流量拦截与操控的高级框架。 - **[Bettercap](https://www.bettercap.org/)** – 网络取证、渗透测试与 MitM 攻击的多功能工具。 ### 🏴‍☠️ 暗网与深网分析 - **[Tor](https://www.torproject.org/)** – 用于深网取证的匿名网络。 - **[ONIONScan](https://github.com/s-rah/onionscan)** – 深网分析与洋葱服务扫描。 # 📱 移动取证工具 ### 🔍 移动数据提取与分析 - **[Cellebrite UFED](https://cellebrite.com/)** – 从移动设备提取数据的行业标准工具。 - **[Magnet AXIOM](LINK_URL_58/>)** – 移动取证分析与数据恢复工具。 - **[Oxygen Forensic Suite](https://www.oxygen-forensic.com/)** – 移动数据提取、通话记录与应用分析。 - **[XRY](https://www.msab.com/products/xry/)** – 用于数据提取与解码的移动取证工具。 - **[MOBILedit Forensic](https://www.mobiledit.com/forensic)** – 逻辑与物理提取相结合的设备调查。 - **[Belkasoft Evidence Center](https://belkasoft.com/ec)** – 从 iOS、Android 和云服务提取数据。 ### 🔧 Android 取证 - **[ADB (Android Debug Bridge)](https://developer.android.com/studio/command-line/adb)** – 与 Android 设备交互的命令行工具。 - **[Andriller](https://www.andriller.com/)** – Android 图案锁破解与数据提取。 - **[AFLogical](https://github.com/nowsecure/AFLogical)** – 从 Android 进行逻辑数据提取的开源工具。 - **[Frida](https://frida.re/)** – 用于 Android 逆向工程的动态 instrumentation 工具。 - **[Drozer](https://labs.withsecure.com/tools/drozer)** – Android 应用安全测试框架。 - **[Apktool](https://github.com/iBotPeaches/Apktool)** – 反编译 APK 文件。 ### 🍏 iOS 取证 - **[iLEAPP (iOS Logs, Events, And Properties Parser)](https://github.com/abrignoni/iLEAPP)** – 从 iOS 设备提取日志与工件。 - **[Checkm8 / Checkra1n](https://checkra.in/)** – 用于取证提取的越狱工具。 - **[Elcomsoft iOS Forensic Toolkit](https://www.elcomsoft.com/eift.html)** – 即使设备锁定也能提取 iOS 数据。 - **[iExplorer](https://www.macroplant.com/iexplorer)** – 无需越狱即可浏览 iOS 文件系统。 - **[Cydia Impactor](http://www.cydiaimpactor.com/)** – 安装应用并利用旁加载漏洞。 ### 🌐 云与在线数据提取 - **[Oxygen Forensic Cloud Extractor](https://www.oxygen-forensic.com/en/cloud-extractor)** – 从云账户提取移动数据。 - **[Google Takeout](https://takeout.google.com/)** – 从 Google 服务（Google Drive、Gmail 等）下载数据。 - **[iCloudExtractor](https://www.elcomsoft.com/eppb.html)** – 提取 iCloud 备份。 ### 📶 SIM 与 IMEI 取证 - **[SIM Cloning Tool](https://github.com/srdja/SIM-Tools)** – 克隆与分析 SIM 卡数据。 - **[Oxygen SIM Detective](https://www.oxygen-forensic.com/en/products/oxygen-forensic-detective)** – 从 SIM 卡提取数据。 - **[MOBILedit SIM Clone](https://www.mobiledit.com/sim-clone)** – 复制 SIM 数据并恢复已删除消息。 ### 🔍 移动应用与消息分析 - **[WhatsApp Viewer](https://github.com/andreas-mausch/whatsapp-viewer)** – 从数据库提取 WhatsApp 消息。 - **[UFED Physical Analyzer](https://www.cellebrite.com/en/ufed-physical-analyzer/)** – 分析移动应用与消息平台。 - **[SQLite Forensic Browser](https://github.com/sqlitebrowser/sqlitebrowser)** – 调查 WhatsApp、Telegram 等应用的 SQLite 数据库。 - **[Paraben E3](https://paraben.com/e3-platform/)** – 提取并分析社交应用与聊天消息。 # 🦠 恶意软件取证工具 ### 🔍 1. 静态分析工具 - **[IDA Pro](https://www.hex-rays.com/)** – 高级反汇编与反编译工具。 - **[Ghidra](https://ghidra-sre.org/)** – 开源逆向工程框架。 - **[Radare2](https://rada.re/n/)** – 二进制分析与逆向工具。 - **[PEStudio](https://www.winitor.com/)** – 分析 Windows 可执行文件中的恶意指标。 - **[Detect It Easy (DIE)](https://github.com/horsicq/Detect-It-Easy)** – 检测编译器与加壳信息。 ### ⚙️ 2. 动态分析工具 - **[Cuckoo Sandbox](https://cuckoosandbox.org/)** – 自动化恶意软件沙箱。 - **[Any.Run](https://any.run/)** – 基于云交互的恶意软件分析。 - **[Joe Sandbox](https://www.joesecurity.org/)** – 高级恶意软件沙箱。 - **[FakeNet-NG](https://github.com/fireeye/flare-fakenet-ng)** – 模拟网络服务以捕获恶意软件行为。 ### 💾 3. 内存取证工具 - **[Volatility](https://github.com/volatilityfoundation/volatility)** – 从内存转储提取工件。 - **[Rekall](https://github.com/google/rekall)** – 内存取证与事件响应。 - **[RAM Capturer](https://www.magnetforensics.com/)** – 捕获实时内存数据。 ### 🔗 4. 恶意软件行为分析 - **[Process Hacker](https://processhacker.sourceforge.io/)** – 监控与操纵进程。 - **[ProcMon (Process Monitor)](https://docs.microsoft.com/en-us/sysinternals/downloads/procmon)** – 实时跟踪系统活动。 - **[Regshot](https://sourceforge.net/projects/regshot/)** – 比较注册表快照。 - **[APIMonitor](http://www.rohitab.com/apimonitor)** – 跟踪恶意软件使用的 API 调用。 ### 🛠 5. 代码与字符串分析工具 - **[YARA](https://virustotal.github.io/yara/)** – 基于规则的恶意软件分类。 - **[Floss](https://github.com/fireeye/flare-floss)** – 提取恶意软件中的混淆字符串。 - **[Binwalk](https://github.com/ReFirmLabs/binwalk)** – 提取与分析固件。 ### 🌍 6. 在线恶意软件分析服务 - **[VirusTotal](https://www.virustotal.com/)** – 多引擎恶意软件扫描。 - **[Hybrid Analysis](https://www.hybrid-analysis.com/)** – 免费云沙箱。 - **[MalShare](https://malshare.com/)** – 公共恶意软件样本库。 - **[URLScan.io](https://urlscan.io/)** – 分析可疑 URL 的威胁。 # ☁️ 云取证工具 ### 🔍 云日志与监控 - **[AWS CloudTrail](https://aws.amazon.com/cloudtrail/)** – 跟踪 AWS 中的 API 活动与安全事件。 - **[AWS GuardDuty](https://aws.amazon.com/guardduty/)** – AWS 账户的威胁检测。 - **[Google Cloud Logging](https://cloud.google.com/logging/)** – 收集 Google Cloud 服务的日志。 - **[Azure Monitor](https://azure.microsoft.com/en-us/products/monitor/)** – 跟踪 Azure 活动与性能。 ### 🗂 云存储取证 - **[Google Takeout](https://takeout.google.com/)** – 从 Google 账户（Drive、Gmail 等）提取数据。 - **[AWS S3 Access Logs](https://docs.aws.amazon.com/AmazonS3/latest/userguide/ServerLogs.html)** – 监控 AWS S3 中的对象访问。 - **[Azure Storage Analytics](https://docs.microsoft.com/en-us/azure/storage/common/storage-analytics-logging?tabs=dotnet)** – 记录 Azure 存储活动。 ### 💾 云实例与虚拟机取证 - **[Velociraptor](https://www.velociraptor.app/)** – 端点取证与基于云的威胁狩猎。 - **[AWS EC2 Instance Metadata](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/instancedata-data-retrieval.html)** – 从 AWS 实例获取取证元数据。 - **[Google Cloud Compute Disk Snapshots](https://cloud.google.com/compute/docs/disks/create-snapshots)** – 捕获虚拟机快照以进行调查。 - **[Azure Disk Forensics](https://learn.microsoft.com/en-us/azure/security/fundamentals/azure-forensic-best-practices)** – Azure 虚拟磁盘的取证分析。 ### 📡 云网络流量分析 - **[Zeek (Bro)](https://zeek.org/)** – 云环境的网络监控工具。 - **[AWS VPC Flow Logs](https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs.html)** – 捕获 AWS 网络流量。 - **[Google VPC Flow Logs](https://cloud.google.com/vpc/docs/using-flow-logs)** – 记录 Google Cloud 中的网络流量。 - **[Azure Network Watcher](https://docs.microsoft.com/en-us/azure/network-watcher/network-watcher-monitoring-overview)** – 监控 Azure 中的流量。 ### 🔑 云身份与访问取证 - **[AWS IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/)** – 分析权限与访问控制。 - **[Google Cloud IAM Policy Analyzer](https://cloud.google.com/iam/docs/policy-analyzer)** – 检查权限与访问日志。 - **[Azure Active Directory Audit Logshttps://docs.microsoft.com/en-us/azure/active-directory/reports-monitoring/concept-audit-logs)** – 跟踪身份相关活动。 ### ⚠️ 云事件响应 - **[GRR Rapid Response](https://github.com/google/grr)** – 云实例的实时取证。 - **[AWS Security Hub](https://aws.amazon.com/security-hub/)** – AWS 的集中式安全警报。 - **[Google Chronicle](https://chronicle.security/)** – Google Cloud 的威胁情报。 - **[Azure Sentinel](https://azure.microsoft.com/en-us/products/microsoft-sentinel/)** – 云原生 SIEM，用于安全监控。 # 📧 电子邮件取证工具 ### 🔍 电子邮件头部分析 - **[MHA (Message Header Analyzer)](https://mha.azurewebsites.net/)** – 在线工具，用于分析电子邮件头并检测钓鱼。 - **[MXToolbox](https://mxtoolbox.com/EmailHeaders.aspx)** – 提取发件人 IP、SPF、DKIM 与 DMARC 记录。 - **[Wireshark](https://www.wireshark.org/)** – 用于 SMTP、IMAP 与 POP3 分析的数据包捕获工具。 ### 📨 电子邮件元数据提取 - **[EmailTracer](https://github.com/sud0nick/EmailTracer)** – Python 工具，用于提取和分析电子邮件头。 - **[ExifTool](https://exiftool.org/)** – 从电子邮件文件（.eml、.msg）中提取元数据。 - **[Xplico](https://www.xplico.org/)** – 从网络流量捕获中提取电子邮件。 ### 📜 日志与电子邮件文件分析 - **[Log2Timeline (Plaso)](https://github.com/log2timeline/plaso)** – 从电子邮件和系统日志创建时间线。 - **[MailXaminer](https://www.mailxaminer.com/)** – 高级电子邮件取证调查工具。 - **[Forensic Email Collector](https://www.metaspike.com/forensic-email-collector/)** – 提取并分析基于云的电子邮件。 ### 🔑 钓鱼与恶意电子邮件调查 - **[PhishTool](https://phishtool.com/)** – 从电子邮件头识别钓鱼尝试。 - **[VirusTotal](https://www.virustotal.com/)** – 扫描电子邮件附件与 URL 的恶意软件。 - **[YARA](https://virustotal.github.io/yara/)** – 检测恶意电子邮件与附件中的模式。 ### 🛠 电子邮件数据恢复与转换 - **[Mail Viewer](https://www.mitec.cz/mailview.html)** – 查看并提取 .eml 与 .msg 文件中的数据。 - **[Aid4Mail](https://www.aid4mail.com/)** – 转换、搜索与分析电子邮件数据。 - **[Kernel Email Recovery](https://www.nucleustechnologies.com/)** – 恢复已删除或损坏的电子邮件数据。 # 🌟 让我们连接！ 你好，黑客！👋 我们希望能与你保持联系。你可以通过以下任意平台联系我们，一起创造精彩： 🌐 **网站:** [https://yogsec.github.io/yogsec/](https://yogsec.github.io/yogsec/) 📜 **Linktree:** [https://linktr.ee/yogsec](https://linktr.ee/yogsec) 🔗 **GitHub:** [https://github.com/yogsec](https://github.com/yogsec) 💼 **LinkedIn（公司）:** [https://www.linkedin.com/company/yogsec/](https://www.linkedin.com/company/yogsec/) 📷 **Instagram:** [https://www.instagram.com/yogsec.io/](https://www.instagram.com/yogsec.io/) 🐦 **Twitter (X):** [https://x.com/yogsec](https://x.com/yogsec) 👨‍💼 **个人 LinkedIn:** [https://www.linkedin.com/in/cybersecurity-pentester/](https://www.linkedin.com/in/cybersecurity-pentester/) 📧 **电子邮件:** abhinavsingwal@gmail.com # ☕ 请我喝一杯咖啡 ☕ **在此支持我们:** [https://buymeacoffee.com/yogsec](https://buymeacoffee.com/yogsec)

标签：DAST, ESC漏洞, GUI工具, JARM, JS文件枚举, SEO, 元数据分析, 内存分析, 分区恢复, 取证套件, 取证工具, 哈希校验, 应用安全, 恶意软件分析, 数字取证, 数据恢复, 文件恢复, 日志审计, 磁盘取证, 磁盘镜像, 自动化脚本, 证据收集, 调查工具, 逆向工具