✨ 基于Memprocfs和Volatility的可视化内存取证工具 ✨

这是什么

界面展示

具体准备

tools:memprocfs:path:"../Tools/MemProcFS/MemProcFS.exe"volatility2:path:"../Tools/volatility2/vol.exe"volatility2_python:path:"../Tools/volatility2_python/vol.py"volatility3:path:"../Tools/volatility3/vol.py"volatility3_symbols:path:"../Tools/volatility3/symbols"gimp:path:"../Tools/gimp/bin/gimp-console-2.10.exe"volatility2_plugin:path:"../Tools/volatility2_plugin"base_tools:python310:path:"../Tools/python3/python.exe"python27:path:"../Tools/python27/python27.exe"strings:path:"../Tools/other/strings.exe"other_tools:RegistryExplorer:path:"../Tools/RegistryExplorer/RegistryExplorer.exe"EvtxECmd:path:"../Tools/EvtxECmd/EvtxECmd.exe"

功能特点

运行

python main.py

插件开发

importzipfileimportos# 插件信息字典,包含插件的基本信息plugin_info= {"title":"解压文件",# 插件标题"description":"解压ZIP、RAR等压缩文件",# 插件描述"usage":"选择一个压缩文件,然后点击此插件",# 使用说明"category":"文件操作"# 插件类别}defrun(file_path):"""    插件的主要执行函数    参数:    file_path (str): 要处理的文件的路径    返回:    None    """# 检查文件是否存在ifnotos.path.exists(file_path):print(f"错误: 文件{file_path} 不存在")return# 获取文件扩展名_,file_extension=os.path.splitext(file_path)# 根据文件扩展名选择相应的解压方法iffile_extension.lower()=='.zip':extract_zip(file_path)else:print(f"不支持的文件类型:{file_extension}")defextract_zip(file_path):"""    解压ZIP文件    参数:    file_path (str): ZIP文件的路径，即文件槽内文件路径    返回:    None    """try:# 创建输出目录output_dir=os.path.join('output','extracted_files')os.makedirs(output_dir,exist_ok=True)# 解压文件withzipfile.ZipFile(file_path,'r')aszip_ref:zip_ref.extractall(output_dir)print(f"文件已成功解压到:{output_dir}")# 列出解压后的文件print("解压的文件列表:")forroot,dirs,filesinos.walk(output_dir):forfileinfiles:print(os.path.join(root,file))exceptzipfile.BadZipFile:print("错误: 无效的ZIP文件")exceptExceptionase:print(f"解压过程中发生错误:{str(e)}")# 注意: 如果需要支持其他类型的压缩文件(如RAR),# 可以添加相应的解压函数并在run()中调用

适合什么题

几个问题

其他

开发不易，请我喝杯咖啡吧

Star History Chart