5859
多Agent分析平台
基于归纳推理的数据流结构归纳引擎,内置 20085 种文件格式知识库,六大分析模块一站式完成数字取证
🏯 六大分析模块
⚔️
曹操 · 网络流量监控
实时抓包分析
实时捕获网络流量,识别传输协议与嵌入文件格式。需管理员权限,集成在引擎中直接调用。
⚔️
袁绍 · 文件深度分析
三大模式一体
快速分类(魔数+熵)、PE/安装包拆解、全面深度分析(分类+解包+聚类+拆解),覆盖文件分析全场景。
⚔️
袁术 · 磁盘与内存取证
底层存储分析
磁盘镜像、物理磁盘、逻辑卷、光盘镜像、内存转储统一取证分析,从块设备直接读取扫描。
⚔️
董卓 · 智能聚类分析
K-Means / DBSCAN
对未知数据段进行无监督聚类,三算法集成(K-Means+DBSCAN+层次聚类),Silhouette 评分自动选择最佳聚类数。
⚔️
刘表 · PCAP 离线分析
离线流量取证
将离线 PCAP 抓包文件作为二进制数据流扫描,识别其中嵌入的文件格式,用于离线流量取证分析。
⚔️
丁原 · 目录批量扫描
大规模分类
递归扫描指定目录下的所有文件,批量识别格式类型,一键完成大规模未知文件的快速分类。
✨ 核心能力
📊
魔数格式识别
内置 20085 种文件格式知识库(来自 mime-db、Wikipedia、Gary Kessler 等权威来源)。30+ 核心格式支持二级魔数头校验,涵盖 BMP、JPEG、GIF、PNG、ICO、PDF、ZIP、GZIP、BZ2、ELF、MZ(PE)、OLE2、CAB、RAR、WAV、AVI、WEBP、MP3、MP4 等,通过 FormatProfile 深度识别准确确定文件类型归属。
🔍
Shannon 熵分析
对数据段进行 Shannon 熵值计算与分类,自动区分零填充、低熵(文本/代码)、中熵(压缩数据)、高熵(加密/随机)等层级,辅助判断数据是否值得深度分析。
🧬
智能聚类分型
K-Means / DBSCAN / 层次聚类三算法集成融合,Silhouette 评分自动选择最佳聚类数(2~15),24维特征向量驱动,自动发现数据内部的结构与规律。
📦
深度解包引擎
内置完整 DEFLATE/inflate 引擎,支持 ZIP、GZIP、TAR 格式的递归解包(最大深度 16),自动提取归档文件中的隐藏内容。支持 PE 资源段提取(图标/位图/对话框/字符串表/版本信息)。
🛡️
安装包检测
识别 Inno Setup、NSIS、InstallShield、WiX、7zSFX、RARSFX 等常见安装包格式及其有效载荷边界,辅助定位安装包内的嵌套文件结构。
🌐
Web 多Agent平台
内置 Flask Web 服务,浏览器访问 localhost:5859 即可使用。六大分析模块可视化操作,实时日志流推送,执行结果文件浏览器预览,支持断网环境下本地运行。
🎯 与传统工具对比
特性 传统工具(binwalk/file) 5859 分析平台
已知格式识别 基础魔数匹配 多级签名层次 + FormatProfile 深度识别
未知数据处理 统一归类为"其他/未知" 熵分析筛选 + 三算法集成聚类分型
容器穿透 基础支持 ZIP/GZIP/TAR 递归穿透 + DEFLATE 解压 + PE 资源提取
磁盘/内存分析 有限支持 磁盘镜像、物理磁盘、逻辑卷、光盘、内存转储 统一入口
安装包检测 不支持 Inno/NSIS/InstallShield/WiX/7zSFX/RARSFX 识别 + 载荷边界定位
Web 界面 六模块可视化操作 + 实时日志 + 文件浏览器预览
归纳推理 无监督聚类驱动的归纳推理,从数据段特征中发现隐藏的结构模式
⚙️ 分析流程
1
输入加载与预处理
支持原始二进制文件、磁盘镜像、物理磁盘、逻辑卷、光盘镜像、内存转储、PCAP 网络数据包。自动检测输入类型,内存映射大文件。
2
容器穿透与预解码
ZIP / GZIP / TAR / DEFLATE 容器递归解包(最大深度 16)。PE 文件资源段提取(图标/位图/对话框/字符串表/版本信息)。安装包载荷检测。
3
格式识别与熵分析
30+ 格式的二级魔数签名匹配,FormatProfile 深度识别。Shannon 熵值计算与七级分类(zero_fill→high_entropy),区分数据与噪声。
4
归纳推理 · 智能聚类分型
24维特征向量提取,K-Means / DBSCAN / 层次聚类三算法集成融合,Silhouette 评分自动选择最佳聚类数(2~15),从数据中归纳结构规律。
5
标准化输出
生成 classification_report.json(分类报告)、cluster_report.json(聚类报告)、summary.txt(可读摘要)。可选导出二进制切片数据,按格式分文件夹组织。
📖 使用方法
Web 平台(推荐)
# 启动 Web Agent Hub cd agent python server.py # 浏览器访问 http://localhost:5859 # 选择模块 → 配置参数 → 点击执行 → 查看实时日志与输出文件
命令行调用
// 快速格式分类 5859.exe -i input.bin -o ./output --mode classify --verbose // 全面深度分析(含解包+聚类+安装包检测) 5859.exe -i input.bin -o ./output --mode full --decompress --installer-unpack --verbose // 仅聚类分析 5859.exe -i unknown.bin -o ./output --mode cluster-only --verbose // 磁盘镜像分析 5859.exe -i disk.img -o ./output --input-type disk --mode full --decompress // PCAP 流量分析 5859.exe -i capture.pcap -o ./output --input-type pcap --mode full --decompress // 网络实时抓包(需管理员权限) 5859.exe --iface 0 --capture-duration 30 -o ./output
参数说明
// 必填参数 -i, --input 输入文件路径 -o, --output 输出目录路径 // 分析模式 --mode classify | full | cluster-only // 输入类型 --input-type auto | disk | physical-disk | logical-volume | cdrom | memory-dump | pcap // 深度分析开关 --decompress // 启用 ZIP/GZIP/TAR 递归解包 --installer-unpack // 启用安装包检测(Inno/NSIS/InstallShield等) --recursive-depth <N> 最大递归解包深度(默认 16) // 网络抓包 --iface <index> 网络接口索引 --capture-duration <seconds> 抓包时长 // 通用 -v, --verbose 详细输出模式 --output-binary // 导出二进制切片数据
输出目录结构
output_YYYYMMDD_HHMMSS/ ├── classification_report.json // 分类报告(主输出) ├── cluster_report.json // 聚类分型报告 ├── summary.txt // 可读摘要 ├── BMP/ // 按格式分文件夹 ├── JPEG/ ├── PNG/ ├── PDF/ ├── ZIP/ ├── PE/ ├── ELF/ ├── GZIP/ ├── GZIP_extracted/ // GZIP 解包后的内层数据 ├── ZIP_extracted/ // ZIP 解包后的内层数据 ├── entropy_noise/ // 高熵随机数据 ├── entropy_zero_fill/ // 零填充区域 ├── raw_unknown/ // 未识别数据 └── ...
🛠️ 技术特点
高性能原生实现
C 语言原生实现,自研 DEFLATE/inflate 引擎与魔数签名匹配器,零外部压缩库依赖。100MB 文件分类分析 < 30 秒。
🧠
归纳推理驱动
无监督聚类驱动的归纳推理引擎:K-Means / DBSCAN / 层次聚类三算法集成融合,Silhouette 评分自动选参,24维特征向量从数据中自主归纳结构规律,不依赖任何预训练模型。
🔒
无第三方依赖
SQLite3 + cJSON 内置编译,Windows x64 单文件可执行。无需安装任何运行时或库,复制即用。
🌐
Web 多Agent架构
六大分析模块通过 Web 界面统一调度,每任务独立进程隔离。SSE 实时日志推流,输出文件浏览器支持图片/文本在线预览。
🚀 立即获取

获取 5859 多Agent分析平台,开启您的数据分析之旅

下载 5859 平台
多Agent数据分析平台 · 支持 Windows x64 · Web + CLI 双模式
← 返回正式主页