课程实训 · 本地运行 · 可复现演示

Hazelita Forensics Workbench

面向电子数据取证课程的大作业项目。创建案件、导入检材、运行插件、 审查 artifact,并导出 Markdown 报告或可携带报告包。

定位

不是商业套件,是稳定的课堂演示闭环

hzltfw 聚焦「电子数据取证基础」课程场景。它不直接解析原始磁盘镜像或 E01,而是分析已经导出的文件、目录或压缩包,让演示流程保持轻量、可控、 跨平台。

Capabilities

最终交付功能

01

本地 GUI 工作流

NiceGUI 页面覆盖案件管理、证据采集、分析执行、发现审查和报告导出。

02

证据索引

支持文件、目录或压缩包路径导入,并将文件规范化索引到 evidence_files。

03

Windows 导出检查

导入前识别用户目录、浏览器 profile、注册表 hive、事件日志和回收站来源。

04

统一发现审查

按类型、级别、插件和关键发现筛选 artifact,同时保留原始 JSON 详情。

05

外部工具适配

可手动配置 ALEAPP、iLEAPP 和 Hindsight,并将输出链接进报告包。

06

报告导出

支持单文件 Markdown 报告,也支持复制外部输出的 portable report bundle。

Preview

发现中心界面

hzltfw 发现审查页面截图

Workflow

演示路径

  1. 1

    创建案件

    记录案件编号、名称、调查员和说明。

  2. 2

    添加检材

    导入准备好的文件、目录或压缩包,必要时先检查 Windows 导出目录。

  3. 3

    运行分析

    执行默认内置插件,也可以手动运行配置好的外部取证工具。

  4. 4

    审查并导出

    筛选关键发现,导出 Markdown 报告或包含外部输出的报告包。

Plugins

默认插件集合

hash_manifest MD5、SHA1、SHA256 和文件清单
file_type magic-byte 扩展名伪装检测
keyword_search 邮箱、手机号、学号等演示正则命中
archive_index ZIP 条目索引和可疑条目名提示
metadata_extract 图片 EXIF、PDF 元数据、DOCX core properties

Run

本地启动

hzltfw 使用 Python 3.12+、SQLite、SQLModel 和 uv。运行时数据保存在 当前目录的 .hzltfw/,适合课程演示和一次性样本分析。

uv sync
uv run hzltfw