🏯
主控 · 何进
总揽朝纲,号令诸侯。一览天下八路诸侯态势,各路英雄各司其职。
5859 数据流结构归纳引擎 是一款面向数字取证与数据恢复领域的专业工具。由主控中心统一调度,六大模块各司其职,从网络流量、磁盘镜像、内存转储到文件格式分析,一站式完成数据取证全流程。
| 名号 | 职能 | 能力 | 输入类型 | 复杂度 |
|---|---|---|---|---|
| 曹操 | 网络流量 | 实时捕获网络流量,识别协议与传输文件(需管理员权限) | — | ⭐⭐ |
| 袁绍 | 文件深度分析 | 三大模式一体:🟢快速分类(魔数+熵)· 🟡PE/安装包拆解 · 🔴全面深度分析(分类+解包+聚类+拆解),一站式全覆盖 | 文件 | ⭐⭐⭐ |
| 袁术 | 磁盘与内存取证 | 磁盘镜像 / 物理磁盘 / 逻辑卷 / 光盘 / 内存转储 / 虚拟机镜像 统一取证分析 | 文件/磁盘 | ⭐⭐⭐⭐ |
| 董卓 | 智能聚类分析 | K-Means / DBSCAN 无监督聚类,自动选择最佳聚类数,发现数据内在结构与规律 | 文件 | ⭐⭐ |
| 刘表 | PCAP 离线分析 | 精准解析离线 PCAP 抓包文件,追溯网络流量中嵌入的文件格式 | pcap文件 | ⭐⭐ |
| 丁原 | 目录批量扫描 | 递归扫描指定目录下全部文件,批量识别格式类型,一键分类大规模文件集 | 目录 | ⭐ |
| 功能模块 | 能力说明 |
|---|---|
| 魔数格式识别 | 支持 30+ 格式的二级魔数头校验,涵盖 BMP、JPEG、GIF、PNG、ICO、PDF、ZIP、GZIP、BZ2、ELF、MZ(PE)、OLE2、CAB、RAR、WAV、AVI、WEBP、MP3、MP4 等常见格式,可准确识别数据块的文件类型归属 |
| Shannon 熵分析 | 对数据段进行 Shannon 熵值计算与分类,自动区分零填充、低熵(文本/代码)、中熵(压缩数据)、高熵(加密/随机)等层级,辅助判断数据是否值得深度分析 |
| ZIP / GZIP / TAR 解包 | 内置完整 DEFLATE/inflate 引擎,支持 ZIP、GZIP、TAR 格式的递归解包,可自动提取归档文件中的隐藏内容 |
| PE 资源提取 | 解析 PE(exe/dll/sys)文件的资源段,提取图标、位图、对话框、字符串表、版本信息等嵌入资源,并将其还原为独立文件 |
| K-means / DBSCAN 聚类 | 对数据段特征向量进行无监督聚类分析,自动发现数据内部的结构与规律,支持自动选择最佳聚类数 |
| 安装包检测 | 识别 Inno Setup、NSIS、InstallShield、WiX、7zSFX、RARSFX 等常见安装包格式及其有效载荷边界,辅助定位安装包内的嵌套文件 |
| PCAP 流量分析 | 将 PCAP 文件作为二进制数据流进行扫描,识别其中嵌入的文件格式,用于离线流量取证 |
| 磁盘镜像分析 | 将物理磁盘、磁盘镜像、逻辑卷、光盘映像作为整体二进制数据进行扫描识别,支持从块设备直接读取分析 |
| 内存转储分析 | 将内存镜像作为原始二进制数据进行格式扫描,识别内存中残留的文件结构片段 |
| 网络实时抓包 | 实时捕获网络流量并分析其中的数据传输,需要管理员权限运行(集成在 5859 引擎中,通过曹操面板调用) |
| 批量目录扫描 | 递归扫描指定目录下的所有文件,快速批量识别各文件的格式类型,适合大规模未知文件分类 |
① 选择目标 — 从仪表盘选择一位将领
② 配置参数 — 点击「📁 浏览」选择目标文件/目录,或手动输入路径
③ 执行任务 — 点击「⚔️ 开始执行」,实时查看右侧日志输出
④ 查看结果 — 任务完成后查看文件列表,点击 📂 打开输出目录
• 确保 5859 引擎已编译就绪(顶部绿色指示灯)
• 部分功能需要管理员权限(网络抓包、物理磁盘读取)
• 分析结果默认保存在 当前目录下的 output/ 目录中
• 支持断网环境下使用,所有资源均在本地
• Web 界面启动命令:cd agent && python server.py,浏览器访问 http://localhost:5859
• 本工具仅限于在没有重要文件的独立测试机上使用
• 使用方应对测试数据自行备份,本工具不对任何测试后果负责(包括但不限于数据丢失、磁盘损坏、系统异常等问题)
• 涉及物理磁盘读写、数据恢复等操作具有不可逆风险,请务必在隔离环境中谨慎使用