๐ฌ NullSec Forensics
February 27, 2026 ยท View on GitHub
๐ฌ NullSec Forensics
Advanced Digital Forensics & Incident Response Toolkit
โโโโ โ โ โโ โโโ โโโ โโโโโโ โโโโโโ โโโโโโ
โโ โโ โ โโ โโโโโโโโ โโโโ โโโ โ โโ โ โโโโ โโ
โโโ โโ โโโโโโ โโโโโโโโ โโโโ โ โโโโ โโโโ โโโ โ
โโโโ โโโโโโโโ โโโโโโโโ โโโโ โ โโโโโโ โ โโโโ โโโโ
โโโโ โโโโโโโโโโโโ โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ โโโโโ โ
โ โโ โ โ โโโโ โ โ โ โโโ โโ โโโ โโ โโโ โ โโโ โโ โโ โโ โ โ
โ โ โ โ โ โ โ โ โ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
โโโโโโโโโโโโโโโ F O R E N S I C S โโโโโโโโโโโโโโโโโโโโโโโโโโ
โโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโโ
bad-antics
๐ Join x.com/AnonAntics for premium features!
๐ฏ Features
| Tool | Language | Description | Free | Premium |
|---|---|---|---|---|
| memhunter | Rust | Memory analysis & extraction | โ | ๐ฅ |
| filecarve | Zig | High-speed file recovery | โ | ๐ฅ |
| timeliner | Rust | Forensic timeline generator | โ | ๐ฅ |
| hasher | Rust | Recursive hash verification | โ | ๐ฅ |
| peanalyze | Python | PE/ELF malware triage | โ | ๐ฅ |
| regparse | Rust | Windows registry parser | โ | ๐ฅ |
๐ Structure
nullsec-forensics/
โโโ rust/
โ โโโ memhunter/ # Memory forensics
โ โโโ timeliner/ # Timeline generation
โ โโโ hasher/ # File hashing
โ โโโ regparse/ # Registry parsing
โโโ zig/
โ โโโ filecarve/ # File carving
โ โโโ diskimage/ # Disk imaging
โโโ python/
โ โโโ peanalyze.py # PE analysis
โ โโโ elfparse.py # ELF analysis
โ โโโ yara_scan.py # YARA scanning
โ โโโ strings_plus.py # Enhanced strings
โโโ scripts/
โโโ acquire.sh # Evidence acquisition
โโโ report.py # Report generation
๐ง Tool Details
memhunter (Rust) - Memory Forensics
Features:
- Process memory dumping
- String extraction with encoding detection
- Pattern/regex searching
- Credential extraction (LSASS, browsers)
- Rootkit detection signatures
# Dump process memory
sudo ./memhunter -p 1234 -o dump.bin
# Search for patterns
./memhunter -i dump.bin -s "password" --context 50
# Extract strings
./memhunter -i dump.bin --strings -e utf16 -o strings.txt
# Hunt for credentials
sudo ./memhunter --creds -o credentials.json
filecarve (Zig) - File Recovery
Supported formats:
- Images: JPEG, PNG, GIF, BMP, TIFF
- Documents: PDF, DOCX, XLSX, PPTX
- Archives: ZIP, RAR, 7Z, TAR
- Media: MP3, MP4, AVI, MKV
- Databases: SQLite, MySQL dumps
# Carve from disk image
./filecarve -i disk.dd -o recovered/ --all
# Specific file types
./filecarve -i disk.dd -o recovered/ -t jpeg,pdf,docx
# Raw device (requires root)
sudo ./filecarve -i /dev/sda -o recovered/ -t all
๐ Quick Start
# Memory acquisition
sudo ./memhunter --acquire -o memory.raw
# Analyze memory dump
./memhunter -i memory.raw --processes
./memhunter -i memory.raw --network
./memhunter -i memory.raw --strings -o strings.txt
# File carving
./filecarve -i evidence.dd -o recovered/
# Generate timeline
./timeliner -i evidence.dd -o timeline.csv
# Hash verification
./hasher -d /evidence -a sha256 -o hashes.txt
./hasher --verify hashes.txt
โ ๏ธ Legal Disclaimer
For authorized forensic investigations only. Follow proper chain of custody procedures.