关于Artifacts

Artifacts是一款多功能信息安全数字取证工具库，广大研究人员可以根据实际需求使用工具库提供的组件，以更高效地完成数字取证工作。

Artifacts是一个免费的、社区来源的、机器可读的数字取证工件知识库，全世界都可以将其用作信息源和其他工具的一部分。

工具要求

PyYAML >= 3.10

certifi >= 2023.11.17

docutils

Markdown

recommonmark

sphinx >= 4.1.0

sphinx-markdown-tables

sphinx-rtd-theme >= 0.5.1

工具安装

由于该工具基于Python 3开发，因此我们首先需要在本地设备上安装并配置好最新版本的Python 3环境。

接下来，广大研究人员可以直接使用下列命令将该项目源码克隆至本地：

git clone https://github.com/ForensicArtifacts/artifacts.git

然后切换到项目目录中，使用pip命令和项目提供的requirements.txt安装该工具所需的其他依赖组件：

cd artifacts

pip install -r requirements.txt

创建并激活一个虚拟环境：

virtualenv artifactsenv

cd artifactsenv

source ./bin/activate

更新pip并安装其他组件：

pip install --upgrade pip

pip install artifacts

关闭虚拟环境：

deactivate

格式定义与规范

下面给出的是该工具针对Windows EVTX系统事件日志的定义样例：

name: WindowsSystemEventLogEvtx

doc: Windows System Event log for Vista or later systems.

sources:

- type: FILE

  attributes: {paths: ['%%environ_systemroot%%\System32\winevt\Logs\System.evtx']}

supported_os: [Windows]

urls: ['https://artifacts-kb.readthedocs.io/en/latest/sources/windows/EventLog.html']

Artifacts的定义值解析如下：

aliases：用于标识工件定义的可选备用名称列表；

doc：描述（或文档），描述工件定义的可读字符串；

name：名称，标识工件定义的唯一字符串；

sources：来源定义列表；

supported_os：可选列表，指示工件定义适用于哪些操作系统；

urls：可选的 URL 列表，其中包含更多上下文信息；

辅助工具

工具格式规范：【点我查看】

工具API手册：【点我查看】

许可证协议

本项目的开发与发布遵循Apache-2.0开源许可协议。

项目地址

Artifacts：【GitHub传送门】

参考资料

https://artifacts.readthedocs.io/en/latest/sources/Format-specification.html

4A评测 - 免责申明

本站提供的一切软件、教程和内容信息仅限用于学习和研究目的。

不得将上述内容用于商业或者非法用途，否则一切后果请用户自负。

本站信息来自网络，版权争议与本站无关。您必须在下载后的24个小时之内，从您的电脑或手机中彻底删除上述内容。

如果您喜欢该程序，请支持正版，购买注册，得到更好的正版服务。如有侵权请邮件与我们联系处理。敬请谅解！

程序来源网络，不确保不包含木马病毒等危险内容，请在确保安全的情况下或使用虚拟机使用。

侵权违规投诉邮箱：4ablog168#gmail.com（#换成@）