精选的优秀法证分析工具和资源列表
精选的优秀免费大部分为开源取证分析工具和资源列表。超棒的法医收藏工具分布框架现场取证IOC扫描仪获得成像雕刻记忆取证网络取证Windows 组件NTFS/MFT 处理OS X 取证移动取证Docker取证网络文物时间线分析磁盘映像处理解密管理图片分析元数据取证隐写术学习法医学CTF 和挑战资源网站博客图书文件系统语料库其他实验室相关精彩列表贡献收藏AboutDFIR——权威汇编项目——汇集了用于学习和研究的取证资源。提供认证列表、书籍、博客、挑战赛等内容。⭐ ForensicArtifacts.com 取证物库- 机器可读的取证物知识库工具维基百科上的取证工具埃里克·齐默曼的工具分布bitscout - 用于远程取证采集和分析的 LiveCD/LiveUSBRemnux - 用于恶意软件逆向工程和分析的发行版SANS 调查取证工具包 (SIFT) - 用于取证分析的 Linux 发行版Tsurugi Linux - 用于取证分析的 Linux 发行版WinFE - Windows 取证环境框架⭐尸检- SleuthKit 图形用户界面Dexter ——Dexter是一个可扩展且安全的取证采集框架。dff - 取证框架Dissect - Dissect 是一个数字取证和事件响应框架及工具集可让您快速访问和分析来自各种磁盘和文件格式的取证痕迹由 Fox-ITNCC 集团的一部分开发。hashlookup-forensic-analyser - 一款用于分析取证文件以查找来自hashlookup API 或使用本地布隆过滤器的已知/未知哈希值的工具。IntelMQ ——IntelMQ收集和处理安全信息源Kuiper - 数字调查平台Laika BOSS ——Laika是一款物体扫描器和入侵检测系统。OpenRelik——用于存储文件痕迹和运行工作流的取证平台PowerForensics ——PowerForensics是一个用于实时磁盘取证分析的框架TAPIR ——TAPIR可信事件响应工件解析器是一个多用户、客户端/服务器架构的事件响应框架。⭐侦探工具包- 低级别法医分析工具Turbinia ——Turbinia是一个开源框架用于在云平台上部署、管理和运行取证工作负载。IPED - Indexador e Processador de Evidências Digitais - 巴西联邦警察法医调查工具Wombat Forensics - 取证图形用户界面工具现场取证grr - GRR 快速响应用于事件响应的远程实时取证Linux Explorer - 一个易于使用的 Linux 终端实时取证工具箱使用 Python 和 Flask 编写mig - 云端速度的分布式实时数字取证osquery - 基于 SQL 的操作系统分析POFR - Penguin OS Flight Recorder 收集、存储和整理来自 Linux 操作系统的进程执行、文件访问和网络/套接字端点数据以便进行进一步分析。UAC - UAC类 Unix 工件收集器是一个用于事件响应的实时响应收集脚本它利用本地二进制文件和工具来自动收集 AIX、Android、ESXi、FreeBSD、Linux、macOS、NetBSD、NetScaler、OpenBSD 和 Solaris 系统工件。IOC扫描仪Fastfinder - 快速、可定制的跨平台可疑文件查找器。支持 md5/sha1/sha256 哈希值、字面/通配符字符串、正则表达式和 YARA 规则。Fenrir - 简单的 Bash IOC 扫描器Loki - 简易型 IOC 和事件响应扫描器Redline – FireEye 提供的免费端点安全工具THOR Lite - 免费 IOC 和 YARA 扫描仪recon - 一款面向性能的文件查找器支持 SQL 查询、索引和分析文件元数据并支持 YARA。获得Acquire ——Acquire 是一款工具可将磁盘镜像或运行中的系统中的取证样本快速收集到轻量级容器中。ALEX - 用于从 Windows、Linux 和 MacOS 上的 ADB 设备提取文件。它主要是 adbutils 的一个封装库。artifactcollector - 一款可定制的代理程序用于在任何 Windows、macOS 或 Linux 系统上收集取证痕迹。ArtifactExtractor - 从源映像和 VSC 中提取常见的 Windows 工件AVML——一款适用于Linux的便携式易失性内存采集工具。Belkasoft RAM Capturer - 易失性内存采集工具DFIR ORC - 适用于运行 Microsoft Windows 系统的取证工件收集工具FastIR 采集器- 采集窗口上的红外图像FireEye Memoryze——一款免费的内存取证软件FIT - 网页、电子邮件、社交媒体等的取证采集ForensicMiner - 一款基于 PowerShell 的数字取证与事件响应 (DFIR) 自动化工具用于在 Windows 机器上收集证据和物证。Fuji——让MacOS取证变得简单。它可以创建完整的文件系统副本或针对特定Mac电脑进行数据采集。Hashment - 用于分析、转储和恢复 YAFFS2 分区中已删除文件的 Python 取证工具。LiME可加载内核模块LKM允许从 Linux 和基于 Linux 的设备中获取易失性内存以前称为 DMD。Magnet RAM Capture / DumpIt - 一款用于捕获物理内存的免费映像工具SPECTR3 - 通过便携式 iSCSI 只读访问获取、分类和调查远程证据TriageHasher——一款灵活的哈希工具专为Windows、Linux和MacOS上的文件分类而设计。它仅对具有指定扩展名和位置的文件进行哈希处理。UFADE - 从 Linux 和 macOS 上的 iOS 设备提取文件。它主要是对 pymobiledevice3 的一个封装。可以创建 iTunes 风格的备份和高级逻辑备份。unix_collector - 一个用于类 UNIX 系统的实时取证收集脚本以单个脚本的形式运行。Velociraptor - Velociraptor 是一款使用 Velocidex 查询语言 (VQL) 查询收集基于主机状态信息的工具WinTriage ——Wintriage是一款实时响应工具用于提取Windows系统相关文件。它必须以本地或域管理员权限运行建议从外部驱动器运行。成像dc3dd - dd 的改进版本dcfldd - dd 的一个改进版本此版本存在一些错误另一个版本位于 github adulau/dcflddFTK Imager - 适用于 Windows 的免费图像处理工具⭐ Guymager - 用于 Linux 系统磁盘映像的开源版本4n6pi - 一款基于 libewf 的取证磁盘映像工具专为 Raspberry Pi 设计。雕刻bstrings - 改进的字符串实用程序bulk_extractor - 从磁盘映像中提取电子邮件地址、信用卡号和直方图等信息floss - 用于自动反混淆恶意软件二进制文件中字符串的静态分析工具⭐ photorec - 文件雕刻工具swap_digger - 一个用于自动化 Linux 交换空间分析的 bash 脚本可自动提取交换空间并搜索 Linux 用户凭据、Web 表单凭据、Web 表单电子邮件等。记忆取证inVtero.net是一个基于 .NET 开发的高速内存分析框架支持所有 Windows x64 系统并包含代码完整性和写入支持。KeeFarce - 从内存中提取 KeePass 密码MemProcFS - 一种将物理内存作为文件访问的简单便捷的虚拟文件系统。Rekall - 内存取证框架易失性——内存取证框架VolUtility - 波动率框架的 Web 应用程序网络取证Kismet——一款被动式无线嗅探器NetworkMiner - 网络取证分析工具RustNet——一个跨平台的网络监控终端用户界面提供网络连接的实时可见性。Squey - 日志/PCAP 可视化软件旨在检测大量数据中的异常和微弱信号。⭐ WireShark - 网络协议分析器Windows 组件Beagle - 将数据源和日志转换为图表Blauhaunt - 用于过滤和可视化登录事件的工具集FRED - 跨平台 Microsoft 注册表编辑器Hayabusa - 一款基于 sigma 的威胁狩猎和 Windows 事件日志快速取证时间线生成器。LastActivityView - LastActivityView 由 Nirsoft 开发是一款适用于 Windows 操作系统的工具它可以从运行中的系统的各种来源收集信息并显示用户在此计算机上执行的操作和发生的事件的日志。LogonTracer - 通过可视化和分析 Windows 事件日志来调查恶意 Windows 登录PyShadow - 一个用于 Windows 的库用于读取卷影副本、删除卷影副本、创建指向卷影副本的符号链接以及创建卷影副本。python-evt - 用于解析经典 Windows 事件日志文件 (.evt) 的纯 Python 解析器RegRipper3.0 - RegRipper 是一个开源的 Perl 工具用于解析注册表并将其呈现以供分析。RegRippy - 一个用于从 Windows 注册表单元读取和提取有用取证数据的框架NTFS/MFT 处理MFT解析器- MFT解析器比较MFTEcmd - Eric Zimmerman 的 MFT 解析器MFTExtractor - MFT解析器MFTMactime - MFT 和 USN 解析器允许以文件系统时间线格式 (mactime) 直接提取将 MFT 中的所有驻留文件以其原始文件夹结构转储并对它们全部运行 yara 规则。NTFS 日志解析器NTFSTool - 完整的 NTFS 取证工具NTFS USN 日志解析器RecuperaBit - 重建和恢复 NTFS 数据python-ntfs - NTFS 分析OS X 取证APFS Fuse - 适用于新版 Apple 文件系统的只读 FUSE 驱动程序mac_aptmacOS 工件解析工具 - 从磁盘映像或运行中的计算机中提取取证工件。MacLocationsScraper - 导出 iOS 和 macOS 上的位置数据库文件内容macMRUParser - 一个 Python 脚本用于将 macOS 上的最近使用 (MRU) plist 文件解析为更易于阅读的格式。OSXAuditorOSX 收集移动取证Andriller——一款包含一系列智能手机取证工具的软件实用程序ALEAPP - 一个 Android 日志事件和 Protobuf 解析器ArtEx - 用于 iOS 全文件系统提取的工件检查工具iLEAPP - iOS 日志、事件和 plist 解析器iOS 常用位置数据转储工具- 转储位于 /private/var/mobile/Library/Caches/com.apple.routined/ 目录下的 StateModel#.archive 文件的内容。MEAT - 在 iOS 设备上执行不同类型的采集MobSF - 一个自动化的一体化移动应用程序Android/iOS/Windows渗透测试、恶意软件分析和安全评估框架能够执行静态和动态分析。OpenBackupExtractor - 一款用于从 iPhone 和 iPad 备份中提取数据的应用程序。Docker取证dofDocker取证工具包 ——从Docker主机系统的磁盘镜像中提取和解析取证痕迹。Docker Explorer从 Docker 主机系统的磁盘镜像中提取和解析取证痕迹。网络文物ChromeCacheView - 一个小型实用程序用于读取 Google Chrome 浏览器的缓存文件夹并显示当前存储在缓存中的所有文件列表。chrome-url-dumper - 转储 Chrome 收集的所有本地存储信息事后诸葛亮——谷歌Chrome/Chromium的互联网历史记录取证IE10Analyzer - 此工具可以解析 WebCacheV01.dat 中的正常记录并恢复已删除的记录。展开- 从 URL 中提取和可视化数据WinSearchDBAnalyzer - 此工具可以解析 Windows.edb 中的正常记录并恢复已删除的记录。时间线分析DFTimewolf - 使用 GRR 和 Rekall 协调取证数据收集、处理和导出的框架⭐ plaso - 从各种文件中提取时间戳并进行聚合时间线浏览器- 一款用于分析 CSV 和 Excel 文件的时间线工具。专为 SANS FOR508 学生打造。timeliner ——mactime 的重写版本一个 bodyfile 读取器时间草图- 协作式法医时间线分析磁盘映像处理Disk Arbitrator - 一款 Mac OS X 取证实用程序旨在帮助用户确保在对磁盘设备进行映像时遵循正确的取证程序。imagemounter - 用于简化取证磁盘映像挂载/卸载的命令行实用程序和 Python 包libewf - Libewf 是一个库和一些工具用于访问专家证人压缩格式 (EWF, E01)PancakeViewer - 基于 dfvfs 的磁盘映像查看器类似于 FTK Imager 查看器xmount - 在不同磁盘映像格式之间进行转换解密hashcat - 支持 GPU 的快速密码破解工具开膛手约翰- 密码破解器管理Catalyst ——Catalyst 是一个开源的安全自动化和工单系统。dfirtrack - 数字取证和事件响应跟踪应用程序跟踪系统事件管理- 用于组织非简单安全调查的 Web 应用程序。其设计理念是将事件视为工单树其中一些工单是线索。iris - 协作事件响应平台图片分析Ghiro——一款全自动工具旨在对海量图像进行取证分析。Sherloq——一款开源的数字照片图像取证工具集元数据取证Phil Harvey 的ExifToolEXIF 编辑器是一款浏览器内使用的 EXIF 查看器/编辑器/分析工具注重隐私保护无需注册。它还包含 EXIF 指南和 EXIF 测试。FOCA ——FOCA 是一款主要用于查找文档中的元数据和隐藏信息的工具。隐写术声波可视化器Steghide是一款隐写术程序可以将数据隐藏在各种图像和音频文件中。Wavsteg是一款隐写术程序可以将数据隐藏在各种图像和音频文件中。Zsteg——一款用于WAV文件的隐写编码器学习法医学法医挑战——法医挑战思维导图OpenLearn - 数字取证课程CTF 和挑战BelkaCTF - Belkasoft 出品的 CTF 赛事网络防御者DefCon CTFs - DEF CON CTF 挑战赛存档。法证CTFMagnetForensics CTF挑战赛恶意软件技术实验室MemLabsNW3C挑战北达科他州入侵的精密部件逆向工程挑战资源网站法医焦点SANS 数字取证博客NetresecSANS 法证博客SecurityAffairs - Pierluigi Paganini 的博客本周 4n6资讯 - 法医学周报泽纳法医图书更多内容请参阅安德鲁·凯斯的推荐阅读。网络取证追踪网络空间中的黑客——学习识别黑客踪迹并发现网络证据内存取证的艺术——检测 Windows、Linux 和 Mac 内存中的恶意软件和威胁网络安全监控实践——理解事件检测与响应文件系统语料库数字取证挑战图片- 两个数字取证与事件响应 (DFIR) 挑战图片数字取证工具测试图像其他/r/computerforensics/ - 计算机取证子版块网络安全指南 – 数字取证职业– 网络取证技能、认证和职业道路指南。法证海报- 文件系统结构海报SANS 海报- SANS 提供的免费海报实验室BlueTeam.Lab - 使用 Terraform 和 Ansible 在 Azure 中创建的蓝队检测实验室。相关精彩列表Android 安全应用安全CTF黑客攻击蜜罐事件响应信息安全恶意软件分析渗透测试安全社会工程雅拉

相关新闻

智能决策支持AI平台接口文档设计:架构师如何让上下游快速对接决策服务?

智能决策支持AI平台接口文档设计:架构师如何让上下游快速对接决策服务?

智能决策支持AI平台接口文档设计指南:架构师如何让上下游高效对接? 一、标题选项 《智能决策支持AI平台接口文档设计:架构师必看的上下游对接优化手册》《从“沟通泥潭”到“对接丝滑”:智能决策服务接口文档的设计秘诀》《架构…

2026/7/5 7:52:29 阅读更多 →
Maven 引入外部依赖

Maven 引入外部依赖

Maven 引入外部依赖 引言 Maven 是一个强大的项目管理工具,它能够帮助我们更好地管理 Java 项目。在 Java 开发过程中,引入外部依赖是必不可少的一环。本文将详细介绍 Maven 如何引入外部依赖,并探讨一些常用的依赖管理技巧。 Maven 依赖概述 在 Maven 项目中,依赖通常…

2026/7/3 14:32:30 阅读更多 →
PDF一机一码加密大师1.1.0更新至2026最新版, 强力加密PDF, 无需额外安装阅读器, 附CSDN下载地址

PDF一机一码加密大师1.1.0更新至2026最新版, 强力加密PDF, 无需额外安装阅读器, 附CSDN下载地址

PDF一机一码加密大师(PDF强力加密), 可以加密任意PDF文档,给PDF文件添加一机一码授权, 静态密码等, 防止用户复制传播重要PDF文件,或者打印PDF文档中的内容,并且加密生成的PDF在其他用户电脑上无需安装第三方阅读器即可…

2026/7/3 14:32:31 阅读更多 →

最新新闻

JMeter+Jenkins自动化测试实战:SSE流式响应处理全攻略

JMeter+Jenkins自动化测试实战:SSE流式响应处理全攻略

1. 项目概述:当自动化测试遇上流式数据最近在做一个智能客服项目的自动化回归测试,后端接口从传统的JSON响应,全面升级到了SSE流式输出。这下可好,之前用JMeter写的那些接口测试脚本,跑起来要么直接超时,要…

2026/7/5 9:36:39 阅读更多 →
AI大模型驱动自动化测试:Claude+Playwright+MCP架构实战解析

AI大模型驱动自动化测试:Claude+Playwright+MCP架构实战解析

1. 项目概述:当AI大模型遇上自动化测试最近在测试圈子里,一个组合开始频繁被提及:Claude Playwright MCP。这听起来像是一堆技术名词的堆砌,但如果你深入了解一下,会发现它正在悄然改变我们编写和执行自动化测试脚本…

2026/7/5 9:34:39 阅读更多 →
NCM加密音乐文件本地化转换方案:从原理到自动化实践

NCM加密音乐文件本地化转换方案:从原理到自动化实践

1. 项目概述:从“加密枷锁”到“自由播放”如果你是一个音乐爱好者,尤其是网易云音乐的重度用户,那么你大概率在电脑的某个角落发现过一些以.ncm为后缀的奇怪文件。这些文件直接双击无法用常规播放器打开,想导入手机或车载U盘更是…

2026/7/5 9:32:39 阅读更多 →
RevokeMsgPatcher防撤回补丁:原理、风险与Windows微信/QQ/TIM实操指南

RevokeMsgPatcher防撤回补丁:原理、风险与Windows微信/QQ/TIM实操指南

1. 项目概述:为什么我们需要一个“防撤回补丁”? 在即时通讯软件里,“消息撤回”功能设计的初衷是给用户一个纠正错误的机会,比如打错字、发错人或者一时冲动说了不合适的话。但很多时候,这个功能也带来了信息不对等的…

2026/7/5 9:28:38 阅读更多 →
Folia:全屏沉浸式在线音乐播放器,多端体验+AI 主题生成带来独特听歌感受!

Folia:全屏沉浸式在线音乐播放器,多端体验+AI 主题生成带来独特听歌感受!

Folia 是一款以全屏沉浸式歌词播放为核心的在线音乐播放器,支持多平台,具备智能歌词匹配、AI 生成配色主题等功能,为用户带来独特听歌体验。项目亮点与特色Folia 支持网易云、navidrome 和本地音乐库。其独特之处在于智能歌词匹配&#xff0c…

2026/7/5 9:26:38 阅读更多 →
SQL注入攻防全解析:从原理到实战,掌握Web安全核心漏洞

SQL注入攻防全解析:从原理到实战,掌握Web安全核心漏洞

1. 项目概述:为什么SQL漏洞是面试官的“心头好”? 干了这么多年安全,也面过不少人,我发现一个挺有意思的现象:无论你是应聘渗透测试、安全开发还是安全运维,面试官几乎都会把SQL注入漏洞拎出来问一遍。从“…

2026/7/5 9:26:37 阅读更多 →

日新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

周新闻

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容

B站视频下载神器BiliTools:5分钟学会轻松保存任何B站内容 【免费下载链接】BiliTools A cross-platform bilibili toolbox. 跨平台哔哩哔哩工具箱,支持下载视频、番剧等等各类资源 项目地址: https://gitcode.com/GitHub_Trending/bilit/BiliTools …

2026/7/5 0:03:34 阅读更多 →
威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型全解析:从新手入门到实战应用,助你构建安全产品!

威胁模型的陌生现状在忙碌疲惫的一天里,参与了关于混合后量子密码学的讨论,应付端点攻击找茬的人,还参与留言板讨论后,发现“威胁模型”对多数人仍是陌生概念,且多被当作时髦用语。有趣的相关画作有一幅由 Embyr 创作的…

2026/7/5 0:03:34 阅读更多 →
渗透测试入门指南:从零基础到实战环境搭建

渗透测试入门指南:从零基础到实战环境搭建

1. 从“看热闹”到“入门”:我理解的渗透测试到底是什么?每次看到新闻里说某个大公司的数据被“黑”了,或者某个网站被攻击导致服务瘫痪,你是不是和我一样,心里会冒出两个念头:一是“这黑客真厉害”&#x…

2026/7/5 0:07:38 阅读更多 →

月新闻