FlowSage 是一款专为 CTF 比赛设计的流量分析工具，能够帮助选手快速、准确地从复杂的网络流量中提取关键信息。

🎉v3.0 全面重构为 Golang，实现跨平台支持、性能大幅提升，通过深度协议解析和智能算法，实现一行命令完成复杂流量分析。

🎉 v3.6.0 重大更新：引入 RTSP/RTMP流媒体分析、CAN车联网安全、Cobalt Strike流量解密等核心功能，大幅增强SQL注入检测和CMS识别能力！

• FlowSage GUI - 🎨 全新图形化界面，适合交互式分析、学习研究、演示展示
• FlowSage CLI - ⚡ 强大命令行工具，适合自动化脚本、批处理、服务器环境

两个版本使用相同的分析引擎，功能完全一致，分析结果相同，可根据使用场景自由选择。

💡 注意：本项目目前为闭源项目，欢迎有兴趣的开发者联系合作，CTFer可在Issues中提出功能需求和反馈。

💡 注意：CLI版本存在网络验证，使用公网NTP服务验证当前时间，一个版本可在版本发布后一个月内正常可用。CLI版本已添加离线授权功能，需要离线运行的师傅可以加QQ群1041810310免费获取离线授权。

⚠️ GUI版本说明：GUI版本暂不支持离线运行，需要网络连接进行验证。

⚡ GUI 版本界面

🖥️ 程序菜单

🖥️ HTTP协议分析

FTP协议分析

⚡ CLI 版本界面

🖥️ 程序菜单

💉 SQL-时间盲注流量还原

🎯 SQL-布尔盲注流量还原

🖱️ USB鼠标流量还原

⌨️ USB键盘流量还原

🔌 Telnet流量分析-会话重建

🔍 端口扫描分析器

📧 SMTP流量分析器

FlowSage v3.3.0 正式推出图形化界面版本，为流量分析带来全新体验：

• 响应式布局 - 自适应不同屏幕分辨率，支持高 DPI 显示
• 流畅动画 - 精心设计的过渡动画，提升交互体验
• 直观操作 - 快速文件导入，点击即可分析

• 历史记录 - 自动保存最近分析的文件列表
• 快速重分析 - 一键重新分析之前的流量文件
• 批量处理 - 支持同时导入多个流量文件进行批量分析

• 分类展示 - 按类型分类展示分析结果（Flag、WebShell、SQL 注入等）
• 语法高亮 - HTTP 请求/响应代码语法高亮显示
• 关键信息标注 - 自动高亮标注 Flag、敏感信息、攻击载荷
• 详情面板 - 点击结果项查看完整的 HTTP 会话详情
• 过滤搜索 - 快速过滤和搜索分析结果

• 流量会话列表 - 展示所有 HTTP/HTTPS 会话
• 请求响应查看器 - 并排显示请求和响应内容
• Hex 查看器 - 支持十六进制模式查看原始数据
• 导出功能 - 一键导出分析结果（JSON 格式）
• 复制支持 - 快速复制 Flag、URL、载荷等信息

• 🚗 车联网安全分析：CAN 总线协议深度解析，支持 OBD-II 诊断和异常检测
• � KC2流量解密：Cobalt Strike 流量识别、Beacon解密、配置提取和Malleable Profile分析
• 🌐 全协议深度解析：支持 HTTP、SQL、FTP、SMTP、Telnet、SMB、DNS、ARP、Redis、MongoDB、ICMP、蓝牙、USB、WiFi 等 38+ 主流协议
• � 工控协议深度解*析：支持 Modbus、S7、EtherNet/IP、PROFINET、IEC 104 等 10+ 工控协议
• � Kerbero别s认证分析：完整的企业认证流程重建和威胁检测
• �️ 智能牙WebShell解密：支持XOR/AES密钥爆破、多重嵌套解码、差分分析
• 🎯 CMS智能识别：支持 40+ 种主流CMS系统（WordPress、Joomla、Drupal、DedeCMS、Discuz!等）
• 💉 增强SQL注入分析：时间盲注、布尔盲注、联合查询、报错注入全面检测，字符重建算法优化
• 🚩 智能Flag识别：支持明文、Base64、Hex等多种编码格式，自动解码提取
• � 增强台蓝牙支持：支持HCI、L2CAP、RFCOMM等底层协议，完整蓝牙通信栈解析
• 📁 智能文件识别：自动识别 200+ 文件类型
• 🎌 CTF专属优化：内置多层 Flag 检测算法，支持 15+ 种 Flag 格式
• ⚡ 零配置分析：开箱即用，无需复杂配置
• 🚀 跨平台支持：支持 Windows、Linux、macOS 等主流操作系统

⭐ 标记为 v3.6.0 新增或重大增强功能

• 🔄 Golang重构：完全重写为Go语言，性能提升，内存占用减少
• 🌍 跨平台支持：支持Windows、Linux、macOS
• 🛡️ WebShell检测引擎：新增专业WebShell明文传输解析，支持主流WebShell工具识别
• 🤖 EV3机器人协议：完整支持LEGO EV3机器人通信协议，包含指令解析和传感器数据
• 📱 蓝牙协议增强：深度支持HCI、L2CAP、RFCOMM等底层协议，完整蓝牙通信栈
• 📁 FTP协议重构：增强主被动模式支持，优化文件传输分析和完整性校验
• 🔒 安全加固：内置反分析保护、代码混淆、TLS加密等多重安全机制
• ⚡ 性能优化：并发处理、内存优化、算法改进，处理大文件能力显著提升

• Windows 10/11 (x64/ARM64)
• macOS (x64/ARM64 Apple Silicon)

最低配置：

• 内存：建议 4GB 以上
• 磁盘空间：200MB 以上可用空间
• 显示器：1280x720 分辨率以上

• Windows: Windows 10/11 (x64/ARM64)
• Linux: Ubuntu 18.04+, CentOS 7+, Debian 10+ (x64/ARM64)
• macOS: macOS 10.15+ (x64/ARM64 Apple Silicon)

1. 下载安装包

   从 GitHub Releases 下载最新版本

2. 解压并运行

   解压到任意目录
   双击 FlowSage-GUI.exe 启动
   开始您的分析之旅！
   

3. 使用流程

   • 导入流量文件 - 点击"打开文件"按钮，或直接拖拽 PCAP/JSON 文件到窗口
   • 配置分析选项（可选） - 使用默认配置，或点击"设置"按钮自定义分析参数
   • 开始分析 - 点击"开始分析"按钮，观察实时进度和结果
   • 查看和导出结果 - 在结果面板查看详细信息，点击"导出"保存分析报告

1. 下载工具

   # 从Release页面下载最新版本
   # Windows: flowsage-v3-windows-amd64-secure.exe / flowsage-v3-windows-arm64-secure.exe
   # Linux: flowsage-v3-linux-amd64-secure / flowsage-v3-linux-arm64-secure
   # macOS: flowsage-v3-darwin-amd64-secure / flowsage-v3-darwin-arm64-secure

2. 准备流量文件

   • 使用 Wireshark 打开流量文件
   • 点击 文件 → 导出分组解析结果
   • 选择 JSON 格式保存
   • 使用 FlowSage v3 打开 JSON 文件

3. 运行分析

   # Windows
   ./flowsage-v3.exe
   
   # Linux/macOS
   ./flowsage-v3

• 前端框架: Vue 3 + TypeScript + Vite
• 桌面框架: Wails v2 - Go + Web 的完美结合
• UI 组件: 现代化组件库，支持响应式设计
• 后端引擎: 与 CLI 版本共享相同的 Go 分析引擎

• 核心语言: Go 1.21+
• 协议解析: 自研高性能协议解析引擎
• 并发处理: Go 协程池优化

• 智能会话重建：基于 TCP 序列号的精确重建算法，支持分段传输和乱序重组
• 多层 Flag 检测：正则表达式 + 熵分析 + 格式验证 + 语义分析
• 自适应编码识别：支持 50+ 编码格式自动转换，包括变种编码
• 损坏数据修复：智能文件重组和数据恢复，支持多种修复算法
• WebShell 智能识别：基于行为特征和流量模式的 WebShell 检测引擎
• 蓝牙协议栈解析：完整的 HCI/L2CAP/RFCOMM 协议解析和状态机重建
• EV3 机器人协议：LEGO EV3 通信协议的完整实现和指令解析
• 并发处理优化：Go 协程池和管道优化，大幅提升处理速度

FlowSage v3.6.0 引入完整的流媒体协议分析能力：

• RTSP协议分析 - 完整解析RTSP会话、媒体流信息、传输参数
• RTMP协议分析 - 支持RTMP握手、消息类型识别、流控制
• 媒体流提取 - 自动提取和保存视频/音频流到本地文件

• 监控系统流量分析 - 安防监控系统的流量审计
• 直播平台协议研究 - 直播推流和拉流分析
• 流媒体安全审计 - 检测未授权访问和数据泄露
• 视频会议流量分析 - 企业视频会议系统取证

• CAN帧解析 - 完整解析CAN 2.0A/2.0B帧格式（标准帧和扩展帧）
• 标识符识别 - 智能识别CAN ID和数据含义
• 车辆诊断 - 支持OBD-II诊断协议分析（故障码读取、传感器数据）
• 异常检测 - 识别异常CAN消息和潜在攻击行为

• 汽车网络安全研究 - 车载网络攻击检测和防御
• 车载总线流量分析 - ECU通信协议逆向分析
• ECU通信监控 - 电子控制单元间通信监控
• 车辆诊断协议分析 - 故障诊断和性能监控

• CS流量识别 - 自动识别Cobalt Strike通信特征和C2流量模式
• Beacon解密 - 解密CS Beacon通信数据，还原攻击指令
• C2配置提取 - 提取CS服务器配置信息（域名、端口、密钥）
• Malleable Profile分析 - 识别自定义通信配置和流量伪装

• APT攻击流量分析 - 高级持续性威胁检测和溯源
• 红队演练流量审计 - 渗透测试流量合规性审计
• 恶意软件通信分析 - 木马和后门通信行为分析
• 威胁情报提取 - C2基础设施情报收集

FlowSage v3.6.0 对SQL注入分析器进行多次迭代优化：

• 时间盲注检测 - 增强基于时间延迟的盲注识别，支持SLEEP、BENCHMARK等函数
• 布尔盲注检测 - 优化基于响应差异的盲注分析，提升准确率
• 联合查询注入 - 支持UNION注入检测和数据提取
• 报错注入识别 - 识别基于错误信息的注入（UpdateXML、ExtractValue等）
• 响应差分分析 - 智能对比响应内容差异，减少误报
• 字符重建算法 - 优化盲注数据提取算法，提升效率

• 修正SQL注入分析器核心逻辑（多次迭代）
• 优化误报率，提升检测准确度至98%+
• 增强对复杂注入场景的识别能力
• 支持多种数据库类型（MySQL、MSSQL、Oracle、PostgreSQL）

FlowSage v3.6.0 CMS识别引擎全面升级，新增40+种主流CMS系统支持

• 多维度指纹识别 - 路径、内容、响应头综合分析
• 高准确率 - 置信度评分机制，减少误报
• 框架检测 - 识别底层开发框架
• 版本提取 - 自动提取CMS版本信息（部分支持）

• 架构重构 - 实验性架构重构，降低代码耦合度
• Linter错误修正 - 修正代码规范问题，提升代码质量
• 4.0架构预研 - 为下一代架构做技术储备
• ICMP解析预研 - 预研ICMP协议深度解析能力

• 新增 RTSP协议完整支持 - 会话解析、媒体流信息提取
• 新增 RTMP协议完整支持 - 握手分析、消息类型识别
• 新增 媒体流自动提取 - 视频/音频流保存功能
• 应用 监控系统审计、直播平台分析、视频会议取证

• 新增 CAN 2.0A/2.0B帧格式完整解析
• 新增 CAN标识符智能识别
• 新增 OBD-II诊断协议支持
• 新增 异常CAN消息和攻击行为检测
• 应用 汽车网络安全研究、ECU通信监控、车辆诊断

• 新增 CS流量特征自动识别
• 新增 Beacon通信数据解密
• 新增 C2服务器配置信息提取
• 新增 Malleable Profile自定义配置识别
• 应用 APT攻击分析、红队演练审计、威胁情报提取

• 增强 时间盲注检测 - 支持SLEEP、BENCHMARK等函数
• 增强 布尔盲注检测 - 优化响应差异分析
• 新增 联合查询注入检测 - UNION注入支持
• 新增 报错注入识别 - UpdateXML、ExtractValue等
• 优化 响应差分分析算法 - 智能对比，减少误报
• 优化 字符重建算法 - 提升盲注数据提取效率
• 修复 SQL注入分析器核心逻辑（多次迭代）
• 提升 检测准确度至98%+

• 新增 40+种主流CMS系统支持
  • 主流CMS：WordPress、Joomla、Drupal、DedeCMS、PHPCMS、帝国CMS、MetInfo、齐博CMS
  • 论坛系统：Discuz!、PHPWind、vBulletin、phpBB、XenForo、IP.Board、Discourse、NodeBB、Flarum、Vanilla、SMF
  • 开发框架：ThinkPHP、Laravel、Django、Struts、Spring
  • 博客系统：Typecho、Z-Blog、Ghost
  • Wiki系统：MediaWiki、DokuWiki
  • 电商平台：Magento、Shopify、PrestaShop
  • 安全靶场：DVWA、Pikachu、WebGoat
• 增强 多维度指纹识别 - 路径、内容、响应头综合分析
• 新增 置信度评分机制 - 减少误报
• 新增 底层框架检测能力
• 新增 CMS版本信息提取（部分支持）

• 重构 实验性架构优化 - 降低代码耦合度
• 修复 Linter代码规范问题
• 修复 S7协议解析逻辑
• 修复 欧姆龙协议解析逻辑
• 修复 极端情况下的异常内存占用
• 优化 工控协议字段映射关系
• 优化 TShark执行器性能
• 预研 4.0架构技术储备
• 预研 ICMP协议深度解析

• 版本号：v3.6.0
• 发布日期：2025年12月18日
• Go版本：1.23.1
• 支持平台：Windows/Linux/macOS (x64/ARM64)
• 协议数量：38种协议分析器

• 全新 GUI 应用程序（Windows 平台首发）
  • 基于 Wails + Vue + TypeScript 技术栈
  • 现代化设计语言，响应式布局
  • 流畅动画和直观操作体验
• 核心功能特性
  • 📁 便捷的文件管理 - 历史记录、快速重分析、批量处理
  • 🎯 可视化分析结果 - 分类展示、语法高亮、关键信息标注、详情面板
  • 🔍 深度交互分析 - 流量会话列表、请求响应查看器、Hex 查看器、导出功能
• 性能优化
  • 多线程分析，充分利用多核 CPU
  • 优化内存使用，支持分析大型流量文件
  • 后台处理，界面保持响应

• FlowSage GUI - 适合交互式分析、学习研究、演示展示
• FlowSage CLI - 适合自动化脚本、批处理、服务器环境
• 两个版本使用相同的分析引擎，功能完全一致

• Windows 10/11 (x64/ARM64) ✅
• Linux (x64/ARM64) ✅
• macOS (x64/ARM64 Apple Silicon) ✅

• GUI 版本暂不支持离线运行，需要网络连接进行验证
• CLI 版本继续支持离线授权功能

• 新增 DVWA靶场自动识别和版本检测
• 新增 Pikachu靶场完整支持
• 新增 漏洞类型智能检测（SQL注入、XSS、命令注入等）
• 新增 攻击载荷智能分析和分类
• 新增 响应数据自动提取（用户信息、数据库内容、系统信息）

• 新增 Base64编码Flag自动识别和解码
• 新增 Hex编码Flag自动识别和解码
• 增强 多种Flag格式支持（flag{}、ctf{}、ctfhub{}等）
• 增强 冒号格式Flag识别（flag:、ctf:等）
• 优化 Flag提取精确度和覆盖面

• 优化 配置文件结构，新增CMS分析配置项
• 优化 Flag检测算法，提升识别准确率
• 修复 部分场景下的编码识别问题
• 增强 CTF竞赛场景下的分析能力

• 新增 Modbus TCP/RTU协议分析
• 新增 Siemens S7协议支持
• 新增 EtherNet/IP (罗克韦尔)协议
• 新增 PROFINET工业以太网分析
• 新增 IEC 104电力系统协议

• 新增 WebShell智能解密系统
• 新增 XOR/AES密钥爆破功能
• 新增 多重嵌套编码解密
• 新增 差分分析解密技术

• 新增 Kerberos v5协议完整支持
• 新增 认证流程重建和威胁检测
• 新增 企业网络审计功能

• 完全重写为Golang：告别Python，拥抱高性能的Go语言
• 跨平台支持：Windows、Linux、macOS全平台原生支持
• 性能革命性提升：处理速度提升300%+，内存占用减少60%
• 单文件部署：无依赖部署，文件体积从100MB减少至15MB

• 🛡️ WebShell检测引擎：专业WebShell明文传输解析
  • 支持冰蝎(Behinder)、哥斯拉(Godzilla)、蚁剑(AntSword)识别
  • 智能命令执行分析和加密通信解析
  • 基于流量特征的WebShell行为检测
• 🤖 EV3机器人协议：完整LEGO EV3机器人通信协议支持
  • 指令解析和执行序列重建
  • 传感器数据采集分析
  • 电机控制指令解析
  • 机器人行为序列重现

• 🔷 蓝牙协议全面升级：
  • HCI层：主机控制接口完整解析
  • L2CAP协议：逻辑链路控制和适配协议
  • RFCOMM协议：串口模拟协议支持
  • ATT/GATT协议：属性协议和通用属性配置文件
  • 设备配对分析：完整配对过程重建
• 📁 FTP协议重构升级：
  • 增强主动/被动模式支持
  • 文件传输完整性校验
  • 优化认证信息提取
  • 支持FTPS安全传输分析

• 并发处理：Go协程池优化，支持大规模并发分析
• 内存管理：智能内存回收，减少60%内存占用
• 算法优化：核心算法重写，提升300%处理速度
• 流式处理：支持大文件流式分析，突破内存限制

• 🌐 DNS协议全面支持：新增完整DNS流量分析功能，支持标准DNS、mDNS和DoH协议检测
• 📡 ARP流量分析器：新增地址解析协议分析，智能检测ARP欺骗攻击和网络拓扑重建
• 💾 Redis协议分析：新增NoSQL数据库协议支持，完整解析Redis命令执行和数据操作
• 🍃 MongoDB协议分析：新增MongoDB数据库协议分析，支持查询解析和认证流程重建
• 📶 ICMP协议分析：新增网络诊断协议支持，检测Ping追踪、网络诊断和隐蔽通信
• 🖱️ USB鼠标增强：优化USB提取器，新增6字节格式鼠标数据处理和Y值动态缩放
• 📊 数据质量提升：改进数据分析逻辑，优化报告生成质量和整体可读性
• 🛠️ 代码架构优化：重构代码结构，提升系统维护性和运行稳定性

• 🖱️ 鼠标轨迹解析器：重构鼠标轨迹可视化和分析功能，支持用户操作行为重建
• ⌨️ 键盘数据还原：重构键盘输入重建，支持功能按键和组合键识别，完整还原用户输入
• 🚀 SMB协议分析器：新增文件共享和NTLM认证分析，支持Windows网络取证
• ⏰ NTP时间验证：重构网络时间同步验证，保证软件可用性
• 🎯 增强Flag提取：优化CTF标志检测算法，提升识别准确率和覆盖面
• 🔧 稳定性提升：修复已知问题，提升系统整体稳定性和可靠性

• 🚀 增强SQL注入分析器：新增反向时间盲注检测算法，检测准确率提升
• 🎯 优化标志提取器：支持冒号格式标志检测，增强多种CTF标志格式识别能力
• 🔧 Telnet功能重构：改进终端重建算法，提升会话解析准确性和稳定性
• ⚡ HTTP分析优化：移除404和200状态码请求数量限制，支持更全面的流量分析
• 🛠️ 配置管理升级：全新模块化配置架构，支持FTP、SMTP、SQL注入等模块独立配置
• 📡 网络检查功能：新增网络连接状态检测，提升工具运行稳定性
• 📊 日志分析器：新增专用访问日志分析模块，支持Web服务器日志智能解析
• 🏗️ 架构重构优化：重构报告生成模块，优化项目结构，提升代码可维护性
• 🐛 修复文件处理：优化文件名处理逻辑，修复特殊字符文件名解析问题

• 📡 新增Telnet协议支持：完整的Telnet会话解析和重建功能
• 🔐 Telnet密码分析：智能识别弱密码、爆破攻击和登录凭据
• 💻 终端内容还原：完整重现Telnet会话的终端操作和命令执行
• 📁 HTTP文件自动提取：默认自动提取所有HTTP传输的文件，无需手动操作

• 🔧 重构SQL解析器：全新算法架构，检测准确率提升至98%+
• 🎛️ 新增交互式菜单：菜单操作菜单，支持多种分析模式选择
• 🚩 增强Flag匹配：支持15+种Flag格式，包括变形和隐藏格式
• 📡 HTTP 206分段传输：完整支持分段响应的智能重组和分析
• ⚡ 性能大幅优化：分析速度提升40%，内存占用降低30%

• ✨ 优化SQL注入分析算法，提高检测准确率至95%+
• 🔧 增强USB键盘流量解析，支持更多键盘布局
• 🐛 修复FTP文件传输分析中的编码问题
• 📊 新增HTML可视化报告功能

• 🏗️ 全面重构项目架构，采用模块化设计
• 🔍 增强SQL注入分析，支持多种注入技术
• 🖱️ 优化USB键盘流量解析，支持鼠标轨迹分析
• 🌐 统一HTTP处理器，整合所有HTTP功能

虽然本项目暂时闭源，但我们非常欢迎社区贡献：

• 在 Issues 中提出功能需求
• 分享 CTF 题目和流量样本
• 反馈使用体验和建议

• CTF题库建设
• 新功能开发
• 测试和文档完善
• GUI UI/UX 设计改进

• 🐧 Linux GUI - Linux 平台图形化版本
• 🎨 主题系统 - 支持浅色/深色主题切换
• 📊 数据图表 - 流量统计可视化图表
• 🔍 高级搜索 - 更强大的结果过滤和搜索功能

• 🍎 macOS GUI - macOS 平台图形化版本
• 🤖 更多C2框架 - Metasploit、Sliver、Empire等C2框架支持
• 🔓 加密流量解密 - TLS/SSL流量解密和中间人分析
• 🌐 插件系统 - 支持用户自定义分析插件

• 🏗️ 全新架构 - 基于微服务的分布式分析架构
• 🤖 AI智能分析 - 机器学习驱动的异常检测和威胁识别
• ☁️ 云端协同 - 支持云端分析和团队协作
• 📱 移动端支持 - iOS/Android移动端流量分析

• QQ 群: 1041810310
• 技术支持邮箱: lyscf#proton.me (将#替换为@)
• Bug 反馈: GitHub Issues
• 项目主页: FlowSage on GitHub

本项目目前为专有软件，未经授权禁止复制、分发和修改。

⭐ 如果这个项目对你有帮助，请给我们一个Star！

Made with ❤️ for CTF Community

本项目仅供学习和研究使用，使用者需遵守相关法律法规，确保合法合规使用。我们不对因使用本项目而导致的任何法律责任或损失承担责任。