ForensicLab - 디지털 포렌식 분석 플랫폼

다운로드 무결성 검증 체크섬 검증 페이지 checksums.txt

각 스크립트의 SHA-256을 우측에 표시했습니다. 다운로드 후 다음 명령으로 검증하세요:

Windows: Get-FileHash <file> -Algorithm SHA256

Linux: sha256sum <file>

macOS: shasum -a 256 <file>

메모리 RAM 덤프

WinPmem/AVML/osxpmem 래퍼. 실행 중 시스템의 물리 메모리를 .raw / .lime 형식으로 캡처합니다.

WinLinuxMac 5,625 B

forensiclab_ram_dumper.py

SHA-256

B0D916E64B7FEE5EC91313E598C67EB189CDAE248E394C3D44A7C9EE650576DB

트리아지 수집

레지스트리 하이브·이벤트 로그·Prefetch·LNK·브라우저 히스토리·USB 이력을 한번에 수집해 ZIP으로 묶습니다.

Windows 7,002 B

forensiclab_triage_collector.py

SHA-256

08AED92CD6143993EF02B2767DBED58DBF319AD8D3D60584DDBC9D9E1272B162

브라우저 아티팩트

Chrome·Edge·Firefox·Brave·Opera·Safari의 히스토리·다운로드·쿠키·로그인·캐시를 SQLite에서 추출합니다.

WinLinuxMac 8,708 B

forensiclab_browser_artifacts.py

SHA-256

CC833EF297CE521525281D8C8816636EC4498CE6BD45CAAFCE70DD5FAA31B671

레지스트리 하이브 수집

reg save로 SYSTEM·SOFTWARE·SAM·SECURITY·NTUSER.DAT·UsrClass.dat·AmCache.hve를 라이브 추출합니다.

Windows 4,806 B

forensiclab_registry_collector.py

SHA-256

BF56E0C99D07DC3E8AD3273053E51FD804D778CEFD408B3F555B946D03F58855

디스크 이미저 (dd)

dd 기반 비트 단위 디스크 이미징. SHA256 동시 계산, 진행률 표시, E01 옵션.

LinuxMac 4,020 B

forensiclab_disk_imager.py

SHA-256

77D5B72C4BFD01DEEFED5B3289B2F55A6A6C3992A2CF97E8C18FCE85485058F3

USB 연결 이력

SYSTEM·SOFTWARE·NTUSER 레지스트리에서 USB Vendor·Product·시리얼·최초/마지막 연결 시각을 추출합니다.

Windows 6,111 B

forensiclab_usb_history.py

SHA-256

51349E375B210FDC7CD206A027E83BEB3B1EAB66842D35A3608367CD05DB361F

이벤트 로그 수집

Security·System·Application·PowerShell·Sysmon EVTX를 복사하고 핵심 이벤트(4624·4625·4688·7045 등)를 추출.

Windows 5,256 B

forensiclab_eventlog_collector.py

SHA-256

084CC30E9C85CC7EFC10103F633128730CF4BD41725FFC8676FF917A48FAC63E

MBR 복구

손상된 MBR을 VBR 시그니처 스캔으로 재건. Windows(\\.\PhysicalDriveN)·Linux(/dev/sdX) 지원.

WinLinux 15,589 B

forensiclab_mbr_repair.py

SHA-256

A32AF73503E2BBAD977C5D9E44397290A7D68672E37F8C1DC87DDB3B1FBB4B04

로컬 실행 스크립트